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Birinci Baskı (Temmuz 2014) 
Bu baskıda kullanılan örnekler ve komutlar z/OS işletim sisteminin 1.13 sürümüne göre hazırlanmıştır. 
Bu doküman yararlı olacağı düşüncesiyle, fakat kullanıcıya HİÇBİR GARANTİ vermeksizin dağıtılmaktadır. 


Bu dokümanın Türkçe telif hakları Kayhan Tanrıverir tarafından mainframe kullanıcılarına armağan edilmiştir, 


serbestçe çoğaltıp dağıtabilirsiniz. 
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Önsöz 


Günümüzde bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar 
bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir 


şekilde sunulması zorunluluk haline gelmiştir. Bilgi güvenliğinin temel amacı olan; 


» Veri bütünlüğünün korunması, 
» Yetkisiz erişimin engellenmesi, 
»e Mahremiyet ve gizliliğin korunması 


» Sistemin devamlılığının sağlanması 


konularının mainframe sistemlerinde nasıl olduğunu, mainframe kullanıcıları ile paylaşmak 
için bu kitabı hazırlamaya karar verdik. Kitap hazırlanırken, IBM'in 12 kitaptan oluşan 
zJOS Sistem Programlamanın ABC'si serisinin 6. kitabından “ABCs of z/0OS System 
Programming Volume 6” yararlanılmıştır. Ancak bu kitabın bir çeviri kitabı olmamasına 
özel gayret gösterilmiştir. Kitap hazırlanırken, 7/0S Sistem Programlamanın ABC'si 
serisinin 6. kitabından başka pek çok RACF dokümanı, RACF Komut Dili Başvuru kitabı, 
RACF Güvenlik Yöneticisi El Kitabı, RACF Sistem Programcısı El kitabı, RACF Genel 


Kullanıcılar için başvuru kitabı ve pek çok RACF kurs notları incelenmiştir. 


Hazırladığımız bu kitabın z/OS güvenlik sunucusu ürünlerinden birisi olan RACF yanında, 
bugünün bilgisayar dünyasında geçerli olan, bütünleşmiş güvenlik servis bileşenleri (LDAP, 
Kerberos, Kriptografik hizmetler ve SSL gibi) konularını da kapsamasına, konu 
anlatımlarının mümkün oldukça tablo, diyagram ve şekillerle desteklenmesine özen 


gösterdik. 


Kitapta kullanılan örnekler kendi mainframe sistemimiz altında test edilmiştir. 

Bu kitapla ilgili eleştirileriniz bizim için çok önemlidir. Kitabımızın mümkün olduğu kadar 
çok faydalı olmasını istiyoruz. Bu kitapla ilgili görüş, eleştiri ve katkılarınızı aşağıdaki 
adresten bize iletebilirsiniz. 


Kayhan Tanrıverir 
Ankara 2014 


http://www.vbt.com.tr 
e-mail adresimiz: 


kayhan.tanriverirOvbt.com.tr 
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Giriş 


Güvenlik kavramı, insanoğlunun değerli varlıklarını korumaya başladığından beri var olan 
bir kavramdır. Bir kuruluşun korunması gereken en değerli varlıkları arasında şüphesiz veri 
ve programları en önemli yeri alır. Pek çok firma kritik verisini bilgisayarda saklamakta, 
işlemekte ve ağ üzerinden diğer bilgisayarlara aktarmaktadır. Gizli bilgilerin korunması bir 


iş zorunluluğu ve yasal bir gerekliliktir. 


Günümüz bilgi teknolojilerinde en temel ve en yaygın konu olan bilgisayar güvenliği ve 
erişim denetiminde esas konu, kullanıcıların kaynaklara erişimi ile ilgili olarak “kimin ne 
yapacağına” karar vermektir. Erişim denetimi farklı biçimlerde olabilir. Kullanıcının bir 
kaynağı kullanma iznini belirlemenin yansıra, kaynağın ne zaman ve nasıl kullanılacağını 
da sınırlayabilir. Örneğin, kullanıcının kaynağa sadece belirli bir zaman dilimi içinde 
erişmesi tanımlanabilir. Kullanıcı, çok kullanıcılı bir sisteme her bağlandığında erişim 


denetimi yürütülmektedir. 


Bilgisayar teknolojileri yaygınlaştıkça erişim denetimi düzeneklerine olan ihtiyaç da 
artmaktadır. . Erişim denetiminin amacı, bir bilgisayar sistemi kullanıcısının 
gerçekleştirebileceği işlemleri sınırlamaktır. Böylelikle, erişim denetimi ile güvenlik ihlaline 


neden olacak bir eylemin önlenmesi sağlanır. 


Tarihi olarak, mainframe her zaman geçerli ve güvenilir donanıma sahip güçlü ve güvenli 
bir ortam olarak bilinmektedir. Geçtiğimiz yirmi yıl içinde, mainframe toplu iş ve 
uygulamaların çalıştırıldığı izole ortamdan dünyanın dört bir yanından erişilen bir network 
ortamına dönüşmüştür. Mainframe işletim sistemi MVS' ten (Multiple Virtual Storage) 
z/OS'a büyürken, IBM güvenlik ürünü RACF ( Resource Access Control Facility) kilit bir 


güvenlik aracı olarak kalmıştır. 


Bu kitapta, bilgi güvenliğinin genel bir özetini ve temel kavramlarını, /OS Güvenlik 
Sistemini ve IBM zSerisi makinelerde kullanılan 7/OS Security Server (IBM RACF Güvenlik 
Sunucusu)'un özelliklerini ayrıntılarıyla açıklamayı, mainframe ortamında verilerin nasıl 


korunduğunu ve bu maksatla RACF'in hangi hizmetleri sunduğunu açıklamayı hedefledik. 
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1.0 z7/OS Güvenlik Sistemi 


1980'lerde Birleşik Devletler Savunma Bölümü bilgisayar kurulumlarında veri işletim 
güvenliğini oluşturmak için gerekli prensipleri belirledi. Bu prensipler, Department of 
Defense Trusted Computer System Evaluation Criteria, DoD 5200.28 - STD isimli bir 
bildiriyle duyuruldu ( Bu bildiri Orange Book olarak da bilinir). Hükümetle sözleşme yapan 
şirketlerin bilgisayar sistemlerine bu prensiplerin uygulanması şartı getirildi. Güvenlik 
dereceleri Deden (en düşük güvenlik derecesi) C1, C2, B1, B2, B3 ve A1'e kadar harflerle 


gösterildi. 


IBM'in MVS, RACF, JES2, JES3, TSO, VTAM©, DFP ve PSF alt sistemleri B1 güvenlik 
derecesindedir. Ancak 7/0OS UNIX C2 güvenlik derecesindedir. 


Güvenlik bir yönetim konusudur teknolojik bir konu değildir. Sadece sistem 
programcılarının ilgilendiği bir iş değildir. Hem sistem programcılarını ve güvenlik 


yöneticisini hem de yönetimi ilgilendirir. 


IBM z/OS, işletim sisteminin tabanına yerleştirilmiş güvenlik özellikleri ile hiç bir ekstra 
ücret ödemeden geniş bir alana sahip güvenlik kabiliyetleri sunar. ( RACF, z/OS işletim 
sisteminin bir parçası değildir, ancak ücretli bir üründür. Müşteriler RACF için ekstra ücret 
öderler ). Veri şifreleme, şifreleme anahtar yönetimi, Sayısal sertifikalar, şifre eşlemesi, 
merkezi kimlik denetimi ve denetim gibi birçok z//OS güvenlik fonksiyonları, işletme 
çapında güvenlik çözümlerinin bir parçası olarak z7/OS işletim sistemiyle birlikte 


gönderilmektedir. 


IBM z/OS, Sistem z PR/SM ve şimdi de RACF, bunların tümü Ortak Kriterler (standart ISO 
/ IEC 15048) kapsamında değerlendirilmiştir. RACF, Z7/OS 1.12 için Ortak Kriterler 
Değerlendirme ve Sertifikasyon Programı kapsamında, Evaluation Assurance Level 5 
(EAL5) de Ortak Kriterler sertifikası almıştır. EAL5 en yüksek dereceli ticari güvence 
düzeyidir. Ortak Kriterler, güvenlik standartlarının oluşturulmasında, müşterilerine yardımcı 
olmak için aldığı güvenlik kararları ile müşterinin güvenlik standartlarını karşılaştırıp, 
ürünlerin yeteneğinin bir değerlendirmesini yapan uluslararası onaylı güvenlik standartları 


setidir. 
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1.1 McCumber Bilgi Güvenliği Modeli 


Bilgi güvenliği politikalarının oluşturulması ve politikaların uygulamaya dönüşmesi 
aşamasında, tüm yönleri ile birlikte değerlendirme yapılmadığı müddetçe, bilgi güvenliğinin 
sağlanmasında başarıya ulaşılması söz konusu değildir. Bilginin gizliliği, bütünlüğü ve 
kullanılabilirliğinin bilgi güvenliği içindeki rolü kadar, bu sürece etki eden insan faktörü ve 
uygulanan bilgi güvenliği politikalarının da büyük önemi bulunmaktadır. Aşağıdaki şekilde 
yer alan McCumber'in geliştirmiş olduğu model, bilgi güvenliği konusunda ulusal ya da 
uluslararası boyutta politika geliştirmek ve bilgi güvenliğini tüm yönleri ile uygulayabilmek 


için temel olabilecek en uygun bilgi güvenliği modelidir. 


Bilgi güvenliğinin unsurlarının farklı boyutlarını gösteren ve aynı zamanda kendi içinde 
gruplandıran McCumber'in bilgi güvenliği modeli, 1991 yılından bu yana geçerliliğini 


korumuş ve daha sonra geliştirilen modellere de temel olmuştur. 


Bilginin Durumu 


Bilginin Karakteristiği 
(Korunan Nitelikler) 


Güvenlik Önlemleri 


Şekil 1,1 - McCumber bilgi güvenliği modeli 


Bu modelin esası, bilgi güvenliği sistemlerinin geliştirilmesinde kuruluşların kendilerini 


etkileyen tüm farklı faktörlerin birbirine bağlı olduğunu düşünmesi gerektiğidir. 
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Sağlam bir bilgi güvenliği programı tasarlamak için, yalnızca programın güvenlik 
hedeflerini değil, aynı zamanda bu hedeflerin, bilginin bir sistemde bulunabileceği çeşitli 
durumların ve mevcut güvenliğin tamamı ile nasıl ilişkili olduğu da dikkate alınmalıdır. 
Tasarımda dikkat edilmesi gereken önlemler. McCumber modeli, özellikle herhangi birine 
çok fazla odaklanmadan tüm önemli tasarım unsurlarını dikkate almayı hatırlamaya 


yardımcı olur 


McCumber'in Küpü üç bölümden oluşmaktadır: 
i. Bilginin Durumu ( Bilginin Transferi, Depolama, İşleme) 
ii. Bilginin Karakteristiği (Gizlilik, Bütünlük, Kullanıla birlik) 


ili. Güvenlik önlemleri (Teknoloji, Politika ve Pratikler, Eğitim, Farkındalık ve Uygulama). 


Bilgi güvenliğini teknik boyutta en katı kurallarla uygulayan ve standartları belirleyen 
(CISCO gibi) kuruluşlar da temel bilgi güvenliği kavramları içerisinde McCumber modeline 


yer vermektedirler. 


AB bilgi güvenliği politikalarının değerlendirilmesinde çok boyutlu ve detaylı bakış açısı 
sunan McCumber modeli, bilgi merkezleri ve kurumlar için bilgi güvenliği politikası 
geliştirilirken de dikkate alınması gereken bir kuramsal modeldir. Model üzerinde bilgi 
güvenliğinin sağlanması ile ilgili olarak; bilginin üç farklı yüzü (karakteristiği/güvenlik 


servisleri, durumu ve güvenlik önlemleri) gruplandırılarak gösterilmektedir. 


Maconach (2001) McCumber'in küpüne zaman boyutunu ve güvenlik önlemlerine kimlik 
doğrulama ve inkar edememeyi de ekleyerek geliştirmiştir. Parker (1998) bilgi güvenlik 


literatürüne altı elementten oluşan yeni bir model önermiştir; 


Kullanılabilirlik (Availability) 
Güvenilirlik (Authenticity) 
Gizlilik (Confidentiality) 
Tamlık (Integrity) 

İşe yararlık (Utility) 

Sahip olma (Possession) 
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1.2 Z/OS güvenlik sisteminin temel özellikleri 


Bugünün dünyasında artık geçerli olan sistemlere açık erişimdir, bu nedenle sistemleri ve 
verileri korumak her zamankinden daha önemlidir. Pek çok işlemlerin kaynağını internet 
gibi güvenilmeyen ağlar ve bazen de bilinmeyen kullanıcılar oluşturduğu için işletmelerin 
kurumsal sunucu, kullanıcı kimlik doğrulama, veri güvenliği ve ağ gizliliğine verdikleri önem 
daha da artmıştır. 7/OS güvenlik sistemi, mainframe kullanıcılarının güvenlik endişelerini 
gidermek için mainframe sistemleri üzerinde 40 yıllık rekor sayılacak bir tecrübeye 


dayanan güvenlik kontrolleri paketi sunmaktadır. 


z/OS v1.10 ile birlikte z7/OS İletişim Sunucusu NSS, IPSec ve AT-TLS politika esaslı ağ 
bileşenlerini geliştirmeye başlamıştır. Saldırı Tespit Servisi, IDS'in tarihi yapısına dayalı 
olarak, 2/OS İletişim Sunucusu yeni savunma filtrelemesi olanağı sunmaktadır. Savunma 
filtreleri yapılandırılmış IP filtrelerinin öncesinde değerlendirilirler ve bu filtreler saldırı 
durumunda hizmetin en az kesinti ile korunmasını sağlayacak ve dinamik olarak 


oluşturulabilecek şekilde tasarımlanmışlardır. 


Şekil 1,2 — z/OS İletişim Sunucusunun ağ bileşenleri 


Günümüzün iş modeli, son kullanıcıların veri ve kimlik doğrulamasını uçtan uca 
yapabilecek yetenekte ve güçte koruyucu güvenlik sistemleri gerektirir. Birçok durumda 
artık uygulamalar güvenli ağlar üzerinden erişilebilecek şekilde yazılmaktadır. Her 
uygulamanın erişim güvenliği, uygulama yazılırken dikkate alınmaktadır. z/0S'un yeni 
Uygulama Açık Taşıma Katman Güvenliği (AT-TLS) desteği uygulamada değişiklik 


yapmaya gerek kalmadan TCP uygulamaları namına 
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popüler olarak kullanılan bir protokoldür. 7/0S IPSec desteği, verinin uçtan uca 


şifrelenmesi yeteneği de olmak üzere, pek çok ek seçenekler sunar 


Bilgi işlem sisteminde çok sayıda genel kullanıcı bulunur. Bu kullanıcıların çoğu, birden 
fazla iş fonksiyonlarına sahiptirler ve bu yüzden işlerini yapmak için değişik kaynaklara 
erişmek zorundadırlar. Güvenlik sistemi olmayan bir z//OS sisteminde, kullanıcılar bir erişim 
kontrol mekanizması olmadan, arzu ettikleri kaynağa erişecekler, veri erişiminde hiç bir 
kısıtlama olmayacak, kazayla ya da bilerek kritik bir kaynağa erişip o kaynağa zarar 
verebileceklerdir. Oysa kritik ya da gizli bilginin korunması, pek çok kurum için olağanüstü 
öneme sahiptir. Bu tür bilgilerin ifşa edilmesi, en azından bazı kurumlar için müşteri 
güveninin sarsılmasına neden olur. Finans kurumları için bu durum, maddi olarak telafi 


edilebilir, fakat savunma ve askeri kurumlar için aynı şey söylenemez. 


Security 
,: Associations , 


Systemz 


Enterprise Network 
or İntranet 


Business NX 
Partner 


i 125 
Remote Intranet 
Access Host 


Bilginin gizliliği çalışanların, müşterilerin ya da hastaların kişisel bilgileri söz konusu olduğu 
zaman çok önemlidir. Bir kuruluşta işlem yapan kişiler, kuruluşun bir kamu kuruluşu ya da 
bir işletme olması durumunda kişisel bilgilerin gizli kalmasını beklemektedir. Şirketler, gizli 
bilgileri ifşa ettiğinde problem ortaya çıkmaktadır. Bazen bu açıklama kasıtlı olsa da, gizli 
bilgilerin ifşa edilmesi, örneğin gizli bilgiler yanlışlıkla organizasyonun dışındaki birine e- 
postayla gönderildiğinde, gizlilik ihlali gerçekleşmiş olmaktadır. Konuya örnek olarak Şubat 
2005'te veri toplama ve komisyonculuk şirketi ChoicePoint, 2004 yılında 145.000 kişinin 
kişisel bilgilerinin kimlik hırsızları tarafından çalındığını açıklamıştı. Gizlilik ihlallerine ilişkin 
diğer bir örnek ise, kritik bilgilerin olduğu dokümanların çalışanlar tarafından yanlışlıkla 
başka birine gönderilmesi ya da veri tabanına hackerlerin sızarak adres ya da buna benzer 


kişisel bilgilerin çalınması olarak gösterilebilir (Whitman ve Mattord, 2014: 14). 
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Tüketici olarak, "üyelere özel" kartlar kullandırılarak, harcama alışkanlıklarının bazıları ifşa 
edebilmektedir. Bir çevrimiçi anketi doldurulduğunda, çevrimiçi ayrıcalıklara erişmek için 
kişilerin kişisel geçmişi ifşa edilebilmektedir. Açıklanan bilgiler kopyalanmakta, satılmakta, 
dağıtılmakta ve nihayetinde profiller halinde birleştirilmektedir. “Salam hırsızlığı” adı verilen 
bir suç teşebbüsünde de benzer bir teknik kullanılmaktadır. Şarküteri, bütün bir salamı 
çalamayacağınızı bilmektedir, ancak birkaç dilim salam haber verilmeksizin çalındığında 
kimse farkına varmamaktadır. Belli bir süre sonra salamın tamamı çalınmış olacaktır. Bilgi 
güvenliğinde salam hırsızlığı, bir çalışanın bir anda birkaç parça bilgi çalıp, daha fazla 
almanın fark edileceğini bildiğinde ortaya çıkmaktadır. Ancak sonunda çalışan, eksiksiz 


veya kullanışlı bir şey almaktadır 


Gizlilik, firmaların önemli bilgilerinin ifşa edilmemesi, önemli evrakların yetkisiz kişilerce ele 
geçirilmemesi, firmanın prestiji ve geleceği açısında çok önem arz etmektedir. Firmalar 
genellikle yetkisiz kişilerin erişimini engellemek için bilgi sınıflandırması yaparak her 
departmana farklı saklama alanları oluşturarak departman arası bilgi sınıflandırması 
yapmaktadır. Satış fiyatları ya da maliyet gibi firmalar için çok önem arz eden kalemlerde 


ise sınırlı kişilere değiştirme yetkisi ya da görüntüleme yetkisi vermektedir. 


Elektronik bilgiyi korumanın dört yapı taşı vardır. Bu yapı taşları: 
e Fiziksel ve yöntemsel güvenlik 


» Sistem güvenilirliği 


MVS, yetkisiz bir programın tanımlı ya da tanımsız sistem ara yüzünü kullanarak, belleğe 
erişip okuma yapmasını, ya da belleği atlamasını; parolayı atlamasını ya da RACF 


güvenlik kontrolünü geçmesini engeller. 


» Kaynağa Erişim Kontrolü 


» Kriptolama 


Kriptolama bilgiyi yetkisiz bir alıcının anlayamayacağı hale getirerek, bilginin gizlenmesi 
yöntemidir. 7/0S güvenlik sistemi oluşturulurken, güvenlik sisteminin aşağıdaki temel 


hususları dikkate alınır: 
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» Birgüvenlik politikasının oluşturulması 

» Sistemi kullanan herkese sorumlulukların atanması 

» Yetkilendirmenin tek elden yapılması yerine, yetki delegasyonunun kullanılması 

» Sistem kaynaklarının saptanması, sınıflandırılması ve korunması 

» Korunmuş kaynaklara erişim haklarının düzenlenmesi. 

» Kullanıcı kimliği ve parola denetlenmesi yardımıyla bir kullanıcının kimliğinin 
saptanması ve doğrulanması. 

» Korunmuş kaynaklara erişim araçlarının kontrol edilmesi. 

» Sistem güvenliğinin sürekli İzlenmesi 


»e Korunmuş sistem ve korunmuş kaynaklara erişimlerin kayıt altına alınması. 


Bir saldırgan hedef makineye izinsiz girdiğinde, hedef makinenin hizmetlerini erişilebilir 


kılmak için yapılabileceği en basit şey hedef sistemin bağlı olduğu ağa saldırmaktır. 


En yaygın ağ saldırısı, şuan ölümcül DDOS saldırısı olan ve 400 Gbps büyüklüğünde veri 
üretebilen ölümcül trafikle ağa sızılmasıdır (Harris, 2002). Ayrıca bir saldırgan, ağ 
hizmetlerine geçersiz bir veri gönderebilmekte ve bu da hizmetlerin veya uygulamaların 
anormal davranışına neden olabilmektedir. Ayrıca bir saldırgan, meşru kullanıcılara ağa 
dayalı kaynağa erişim kaybına neden olan tüm trafiği engelleyebilmektedir. Ağ yığını yani 
TCP/IP modeli Şekil 4'te gösterildiği gibi 4 katmana sahiptir. Bir saldırgan, ağdaki herhangi 
bir seviyedeki protokollerden (ağ donanımındaki ve yazılımdaki güvenlik açıklarından) 
istifade edebilmekte ve bu nedenle hizmetleri meşru kullanıcılar için kullanılamaz hale 
getirebilmektedir. Örneğin, internet protokolü (IP) paketindeki bir Logic DoS saldırısı, yük 
veri boyutunu değiştirebilmekte ve bu da OS yazılımındaki bir arıza nedeniyle hedef işletim 


sisteminin çökmesine neden olabilmektedir. 


Firmadaki çalışanlar evrak ya da şirket ile ilgili bilgilere ulaşmak istediklerinde herhangi bir 
sorun yaşamamalıdır. Çünkü günümüz rekabet ortamında hızlı bilgi alışverişi müşteriler 
için çok önem arz etmektedir. Bunun için de işletmeler gerekli önlemleri alarak 


çalışanlarına bu hizmeti sunmak zorundadır. 
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Güvenlik, kasıtlı veya kasıtsız olarak hasar olasılığının azaltılmasını gerektirir. z7/OS 
bağlamında, TLS / SSL, IPSec ve SSH gibi özellikler ağdaki verilerin güvenliğini artırmak 
için kullanılabilir. AT-TLS ve SAF tabanlı güvenlik gibi diğer özellikler de kullanılabilir. 
İzinsiz giriş algılama hizmetleri TCP / IP yığını içinde bir dereceye kadar etkin durumdadır. 
Policy agent (İlke aracısı), güvenlikle ilgili birçok yapılandırma değerinin deposudur. SNA 
mimarisinin karmaşıklığı ve ağın telekomünikasyon bölümünde mevcut sınırlı kullanımı 


nedeniyle, bu bağlamda güvenlik bir IP bağlamında olduğu kadar endişe verici değildir. 


1.3 z/OS sistemlerini ağdan koruma 
Bilginin ve kaynakların paylaşılması nedeniyle kurumlar, bilgisayarlarını çeşitli yollardan 
birbirine bağlayarak, kendi bilgisayar ağlarını oluşturmuşlar ve sonra dış dünyayla iletişim 


kurabilmek için, bilgisayar ağlarını İnternet'e uyarlamışlardır. 


Eskiden kilitli odalarla sağlanan güvenlik kavramı, bilgisayar ağları ve İnternet gibi 
ortamların gündeme gelmesiyle boyut değiştirmiştir. İnternet, yasalarla denetlenemeyen bir 
sanal dünyadır. Bu sanal dünyada, saldırganlar, bilgiye ulaşmada ağların zayıf noktalarını 


kullanarak, yasadışı yollar denemektedirler. 


Sadece yapılan saldırılarla değil, aynı zamanda, kullanıcıların bilinçsizce yaptıkları hatalar 
nedeniyle, birçok bilgi, başka kişilerin eline geçmekte veya içeriği değiştirilmektedir. 
Kurumlarda oluşan kayıplar, maddi olabileceği gibi, güven yitirme gibi manevi zararlar da 
olabilmektedir. Bu tür durumlarla başa çıkabilmek için, bazı kuralların belirlenmesi 


gerekmektedir. 


Bir sisteme karşı saldırılar dışarıdan gelebileceği gibi, işletmenin kendi ağı içinden de 
gelebilir. z/OS İletişim Sunucusu, saldırı faaliyetlerinin inkâr edilmesine karşı da koruma 
sağlayarak, sistemin kullanılabilirliğini güvence altına alır. 2/OS sistemlerinde, ağdan 
gelecek saldırılara karşı sistemi koruyacak, Saldırı Tespit Hizmetleri (Intrusion Detection 
Services) IDS gibi, yerleşik savunma hizmetleri yanında, diğer isteğe bağlı hizmetler de 
vardır. 2//OS İletişim Sunucusu, ayrıca RACF ya da RACF muadili ürünler kullanarak 
sistem kaynaklarını ve veriyi yetkisiz erişimlerden korur. RACF, İletişim Sunucusu 


uygulamalarını kritik TCP/IP kaynakları kadar iyi korur. 
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Günümüz işletmelerinde verilerinin korunmasına yoğun bir şekilde odaklanıldığında, en 
zorlu işlerden biri, iletilen tüm verilerin (özellikle veri merkezinin dışında) kurum tarafından 


belirlenen şekilde şifrelenmesini sağlamaktan sorumlu olan ağ yöneticisinindir. 


z/ OS Entegre Güvenlik Hizmetleri, Network Yetkilendirme Hizmeti Kerberos, Sürüm 5 ve 
GSS'e dayalı IBM z/OS programıdır. 2//OS'un bu bileşeninden "z/OS için Network 
Yetkilendirme Hizmeti - Network Authentication Service for / 0S," " z//OS Network 
Yetkilendirme Hizmeti - 7/0S Network Authentication Service," ya da "Network 


Yetkilendirme Hizmeti - Network Authentication Service." olarak bahsedilmektedir. 
1.4 TCP/IP güvenliği 


z/ OS üzerindeki TCP/IP ile ilgili güvenlik konuları, oldukça kapsamlıdır. Bu kapsam, SAF 
ara yüzünün güvenlik yetenekleri ile birleştirildiğinde, kontrol yeteneği, olağanüstü bir hal 


alır. 


zZOS Network Yetkilendirme Hizmeti, orta katman bir ürün kullanmadan, ya da satın 
almadan, Kerberos güvenlik hizmetlerini vermektedir. Bu hizmetler, Generic Security 
Service Application Programming Interface (GSS — AP)I)'leri kadar iyi bir şekilde, yerel 


Kerberos uygulama programlama (API) fonksiyonlarını yerine getirmektedir. 


Hatırlatma 

SAF ara yüzü, z/OS üzerinde çalışan tüm uygulamalara uygun, standart bir fonksiyon 
çağrısıdır. Arayız çağrısı, kimlik doğrulama, yetkilendirme ve günlük hizmetleri kayıt altına 
alma işlemlerini hızlı ve kontrollü yapmak için kullanılır. SAR, çağrıyı, RACF gibi bir dış 
güvenlik yöneticisine iletilir. “Dış” terimiyle, şu anda kullanılan işletim sistemi z/OS'un 
dışında yürütülen, bağımsız bir varlık ortamına sahip, güvenlik yönetimi olduğu gerçeğinin 


kastedildiği unutulmamalıdır. RACF, 2/OS işletim sisteminden bağımsızdır. 


Güvenlik özelliklerinin birbiriyle bir miktar örtüşen bazı etkileri vardır. IP filtreleme ve ağ 
erişiminin her ikisi de, belirli paketlerin hedeflerine ulaşmasını önlemek için kullanılabilir. 
SSL ve IPsec' in her ikisi de, veri doğruluğunu ve güvenliğini sağlamaya yönelik olarak 


görev yaparlar. 
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Güvenlik özelliklerini endüstri standardına kavuşturmak 


Endüstri standardı terimi, 2//0S güvenlik özelliklerini, resmi ya da gayri resmi olarak 
tanımlamak için kullanılır. Tartışılan bir konu olan, Transport Layer Security (TLS) 
protokolü, bugün muhtemelen internette en yaygın kullanılan güvenlik protokolü 


olduğundan, burada ayrıntılı olarak ele alınacaktır. 


Uygulama katmanı güvenliği 


Her ne kadar uygulama güvenlik katmanı, standartlaştırılmış değilse de, kullanıcı kimliği 
ve parola doğrulamasına, güvenlik açısından bir endüstri standardı yaklaşımı göstermeyen 
hiç bir uygulama güvenlik katmanı yoktur. 


zOS' da son kullanıcıya verilen bütün yetkiler, bu kullanıcının kullanıcı kimliği ile 
ilişkilendirilir. Örneğin telnetd' ye logon olunduğunda, SAF bu kullanıcının, kullanıcı 
kimliğinin, parolayla uyduğunu doğrulayın diye bir çağrı yapar. Bu kullanıcı kimliği, bir kez 
doğrulandıktan sonra, oturum süresince yapılan tüm işlemler güvenlik ortamı ile 
ilişkilendirilir. SAF, RACF gibi ürünlere tekrarlanmayan, düzenli olarak yenilenen, minimum 
uzunlukta ve çeşitli karakter türleri içermeye zorlanan özel şifre kuralları oluşturmasına 
olanak sağlar. Genellikle hafife alınmasına rağmen, yetkilendirmede, kullanıcı kimliği ve 


parola yöntemini kullanmak belki de yöntemlerin hala en iyisidir 
Transport Layer Security (TLS) 


Secure Sockets Layer (SSL), iki TCP/IP uygulaması arasında gizlilik ve kimlik doğrulama 
sağlamak için şifreleme kullanan, Netscape İletişim Firması tarafından geliştirilmiş protokol 
standardıdır. SSL, popülerlik kazandıkça, IETF (internet protokollerini geliştiren ve 
standartlaştıran, resmi statüsü olmayan bir grup) tarafından bir kaç iyileştirme yapılarak 
ismi, Transport Layer Security (TLS) ne çevrilmiştir. TLS, TOPJIP'nin tanımlanmasında 


kullanılan standart numaralara sahip dokümanlarda (RFC) 2246 olarak tanımlıdır. 


Bir TLS bağlantısı el sıkışmayla başlar. Adından da anlaşılacağı gibi, el sıkışma, TLS 


bağlantısı başlangıç kurulumunu gerektirir. 
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TLS el sıkışması sırasında, bilgi değiş — tokuşunda aşağıdakiler olur: 


© Sunucunun yetkilendirilmesi 
© Verilerin nasıl şifreleneceği hakkında karar verme 


© Seçimlik olarak, istemcinin yetkilendirilmesi 


TLS 
client 


Şekil 1,3 — TLS 
IP katmanlı modelde TLS 


IPSec ve TLS arasında bazı benzerlikler vardır. Her ikisi de, networkte, iki uç nokta 
arasında verinin şifrelenmesini sağlarlar. Her ikisi de, bu uç noktaların yetkilendirilmesini 


isterler. Önemli bir farklılık IPSec' in network katmanında işlem yapmasıdır. 


Network Layer. 


«————Datalink ————-| vaa 


Şekil 1,4 — TLS / SSL 
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Sanal Özel Ağ - Virtual Private Network (VPN) iki uç nokta arasındaki (veri akımı), güvenli 


tüneli tanımlamak için kullanılan bir terimdir. 


VPN terimi, bir protokolü tanımlamaz. VPN için endüstri standardındaki protokol, IPSec 
olarak isimlendirilen mimaridir. IPSec mimarisi, REC 2401 de özetlenmiştir. Uygulanması 
ise RFC 2402, 2406 ve 2407 de kapsamlı olarak açıklanmıştır. VPN, internet üzerinden 
başka bir ağa bağlanmayı sağlayan bağlantı çeşididir. 


VPN istemcisi TCP/IP (tünel protokolleri) tabanlı sanal bir bağlantı noktasına, sanal bir 
arama gerçekleştirir. VPN istemcisi, İnternet üzerinden bağlantı kurmak istediği kaynakla, 
sanal bir noktadan noktaya bağlantı kurar, kaynak ya da uzaktan erişime geçmek istediği 
sunucu kimlik bilgilerini kontrol eder ve doğruladıktan sonra VPN istemcisiyle uzaktan 


erişime geçtiği sunucuyla veri akışı gerçekleşir. 


Veriler, akı sırasında noktadan noktaya bağlantı gibi üst bilgi kullanılarak kapsüllenir. Üst 
bilgi verilerin bitiş noktasına erişimleri için paylaşılan veya ortak ağ üzerinden yönlendirme 
bilgileri sağlar. Özel ağ bağlantısını taklit etmek için transfer edilen veriler şifrelenir. Bu 


sayede ortak ağ üzerinden başka kimse tarafından ele geçirilecek veriler elde edilemez. 


VPN iki farklı tipe ayrılır: manüel VPN ve dinamik VPN. Her ne kadar /0S manüel VPN''i 


desteklerse de çok yaygın kullanılmaz. Biz daha çok dinamik VPN üzerinde duracağız. 


Dinamik VPN her bir uç noktadaki veriyi şifrelemek için kullanacağı anahtarların değiş 
tokuşunu yapacağı ayrı bir sunucuya ihtiyaç duyar. 2//0S' da anahtar değiş — tokuşu, IKE 
(Internet Key Exchange) daemon'u tarafından desteklenmektedir. IKE, VPN için anahtar 
değiş — tokuşunda kullanılan standart (RFC 2409) protokoldür. 


Dinamik VPN' in özellikleri, polisi ajanından aldığı bilgiyi kullanan, TCP/IP kümesi 
tarafından kontrol edilmektedir. Polisi ajanı, LDAP sunucusunda tanımlanmış polisiyi 
okuma amacı için çalıştırılan bir daemon' dur. Polisi tanımları TCP/IP kümesi tarafından 


sırayla okunur. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 19/525 


IPSec Kavramı 


TCP/IP protokolü geliştirilirken, güvenlik üzerinde pek fazla durulmamıştı. Çünkü TCP/IP 
protokolünün bu denli yoğun ve standart olarak kabul edilip kullanılacağı düşünülmemişti. 
TCP/IP için bir güvenlik çözümü bulunana kadar, veriler ağ üzerinde savunmasız olarak 
gidip gelmiş, birçok tehlikeyle karşılaşmıştır. Bu tehlikeler, verilerin değiştirilmesi, 
kaybolması, istenilen hedeflere ulaşamamasıdır. Ancak IPSec sayesinde, veriler ağ 
üzerinde güvenli bir şekilde istenilen hedefe ulaştırılabilir. IPsec protokolü, IP 
protokollerinin güvenlik ihtiyaçlarını karşılamak için geliştirilmiş olan bir güvenlik 


protokolüdür. 


yos  PSecTünelportMedeli |. 
SERVER pap —— 
m a ROUTER / 
# A is 
# Sa, FİREWALL Pam 


i "Şi INTERNET #5 İNTRANET E 


iPsec Tünelport Modeğ 


Şekil 1,5 — IPSec 

IPSec (Internet Protocol Security) protokolü, IP paketlerini kimlik doğrulamasına 
(authentication) ve şifrelemeye (encryption) tabi tutarak IP iletişimini güvenli hale getiren 
bir protokol takımıdır. IPSec, IP katmanında (OSI modelde L3 — Network katmanı) tüm IP 
iletişimini şifrelemek ve doğrulamak için, routerlar, VPN istemcileri, PIX Firewall'lar ve 
IPSec uyumlu cihazlar arasında iletişimi güvenli kılar. IPSec, açık bir standart olduğundan, 
birçok kimlik doğrulama (authentication) ve şifreleme (encryption) algoritmasını içinde 


barındırır. 


IPSec protokol süitinde; IKE (Internet Key Exchange), ESP (Encapsulating Security 


Payload) ve AH (Authentication Header) protokolleri bulunur. 


IPSec, bu protokoller sayesinde, iki çift arasında güvenli bir tünel oluşturur. Gönderici taraf, 
ilk olarak ne tür paket trafiğinin korunacağını ve bu tünel vasıtasıyla gönderileceğini 


belirler. Ardından, tünelin karakteristiğini ortaya koyan parametreler 
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belirlenir. IPSec çiftlerinden biri, önceden belirlenen trafiklerden birini kullanarak paketleri 
göndereceği zaman, aynı zamanda özellikleri önceden belirlenmiş bir tüneli kurarak da 


uzaktaki alıcıya paketleri bu tünel aracılığıyla gönderir. 
IPSec Protokolleri 
IKE (Internet Key Exchange): 


Güvenlik parametrelerinin ve anahtarların paylaşımından sorumludur. IPSec, veri 
şifrelemesi için simetrik şifreleme algoritmalarını kullanır. Bu algoritmalar güvenli bir 
anahtar paylaşımını gerektirir. IKE protokolleri güvenli bir biçimde anahtar paylaşımını 
olanaklı kılar. 


AH (Authentication Header): 


AH, IP doğrulama başlığıdır. Veri bütünlüğü (integrity) ve veri kaynağının kimlik denetimini 
sağlarlar. Ahide çeşitli matematiksel algoritmalar kullanılarak gönderilen veri paketine bir 
numara verilir. Daha sonra veri paketi hedefe ulaştığında aynı algoritma kullanılarak 
verilen numara tespit edilmeye çalışılır. 


Gönderilen veri paketi ağ üzerinde herhangi bir değişikliğe ve veri kaybına uğramışsa 
numara farklı olacağından veri paketi kabul edilmez. IPsec protokolleri IP datagramlarının 
bütünlüğünü korumak için hash mesaj doğrulama kodlarını (HMAC) kullanır. MD5 ve SHA 
gibi hash algoritmaları kullanarak IP datagramı ve bir gizli anahtarı temel alan HMAC' i 
çıkartırlar. Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer 
gizli anahtara erişim varsa bu HMAC'i kontrol edebilir. 


ESP protokolünün geliştirilmesiyle AH protokolü önemini yitirmiştir. 


Aşağıdaki AH paket diyagramı bir AH paketinin nasıl düzenlendiğini ve yorumlandığını 
göstermektedir. 


Auihentication Header format 


Offsets Octetıç 0 1 2 3 
Octetıs| Biti (012 34567891011 1213 14 1516 17 18 1920 212223 242526 272829 3031 
0 0 Next Header Payload Len Reserved 
i 32 Security Parameters Index (SPI) 
8 64 Seguence Number 
€ 96 Mmtegritv Check Value (ICY) 


Şekil 1,6 — AH Paket Diyagramı 
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ESP (Encapsulating Security Payload - Kapsüllenen Güvenlik Yükü): 


ESP; verinin şifrelenmesi, kimlik denetiminden geçirilmesi ve güvenli hale getirilmesini 
sağlar. Birçok IPSec uygulamaları ESP 'i kullanır. Protokolün esası, IP doğrulama başlığı 
tarafından numarası verilmiş IP paketlerinin belirlenen algoritmalar yardımıyla şifrelenmesi 
ve hedefte aynı algoritmalar yardımıyla şifrelenen paketlerin açılmasına dayanır. 


Bu işlem IP paketlerini kapsüllendirir ve istemciden istemciye olan iletişim, tünel protokolü 
kullanılarak kapsüllenir. Kaynak ve hedef istemci bilgisayarların, IPSec kullanacak şekilde 
konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından 
desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEULI) 
kullanabilirler. Bu modda, geçit yolu bir tünel sunucu, router, firewall veya VPN cihazı 
kullanılabilir. 


ESP protokolü hem Kimlik Başlığı Doğrulama hem de veri şifreleme olarak iki görevi de 
yerine getirir. Ve bu veri şifrelemesi, ağ üzerinde iletilen paketlerin güvenirliğini sağlar. 


Paketi şifreledikten sonra ESP başlığı oluşturulur ve pakete eklenir. 


Aşağıdaki ESP paket diyagramı bir ESP paketinin nasıl düzenlendiğini ve yorumlandığını 
göstermektedir. 


Encapsulating Security Payload format 


Ojffsets Octetıç o 1 2 3 
Octetıs| Bitıo (0 12 3 456 7 89 10 11/12/13 141516 17 18 19 20 21/22/23 24 25 2627 28 29 30 31 
o o Securifv Parameters Index (SPI) 
4 32 Seguence Number 
- >a Payload data 
Padding (0-255 octets) 
Pad Zengih Nexi Header 


mtegritrv Check Value (ICV) 


Şekil 1,7 — ESP Paket Diyagramı 


AH ve ESP protokolleri IP paketlerine iki farklı şekilde uygulanabilir. 


Transport Mode (Aktarma Modu) 
Bu modda güvenlik sadece OSI katmanlarından Transport katmanı ve üzerinde sağlanan 


bir özelliktir. Transport modu, IP paketinin AH veya ESP ile korunmasını 
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sağlar. Paketin yük bölümü üzerinden koruma gerçekleşirken, gerçek IP adresinde 
değişiklik meydana gelmez. Aynı yerel ağ içerisinde bulunan cihazlar tarafından 
kullanılabilir. 


Tunnel Mode (Tünel modu) 

Bu modda güvenlik, bütün IP paketi üzerinden gerçekleştirilir. Gerçek IP paketi şifrelenir ve 
başka bir IP paketi yardımıyla kapsülleme yapılır. Genel olarak, tünel modu, veriler farklı 
bir ağdan geçiş yapacağı zaman kullanılır. Tünel modunda şifreleme işlemi, veriler ağdan 
çıkış yaparken, ağ geçidi (gateway) üzerinde yapılır. İç ağlarda IPSec kullanmaya gerek 
yoktur. 


Sonuç olarak IPSec, veriyi kriptolayan (encryption), bütünlüğünü sağlayan (integrity), 
kimlik doğrulaması (authentication) ve verinin network üzerinde güvenli iletimini (Secure 


transmission) sağlayan bir ağ standardıdır. 
AT-TLS (Application Transparent TLS) 


Application Transparent TLS (AT-TLS), z/OS'da oturum sonunda TLS 'in unigue 
kullanımıdır. Prensip olarak, kullanımı son derece basittir: AT-TLS, uygulama için TLS 


Bağlantısını TOP katmanında yapar. 


Application Layer 
5SL AP | 


| | 


TLS/SSL 


Transport Layer ——* 


| TCPJUDP | | 
IP/ACMP 


Car-rıs 3 —| Teplüpp | | 
IP//CMP 


IPSec Network Layer 


Data Link 


LL Network 
— 


a 


Şekil 1,7 — IP Katmanı modelinde AT-TLS 


z/0S'da AT-TLS kullanılacaksa o zaman TCPIVP.TCPPARNMS (PROFILE) 


member' ındaki TCPCONFIG'in TTLS satırı aktif edilmelidir. Ayrıca 
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TCPIVP. TCPPARMS(EZBTNPRF) member” ındaki Telnet secure portları da aktif 


edilmelidir. 


TelnetParms ; ATTLS defined secure port 
TTILSPort 2023 
ConnType Any ; Client chooses secure or nonsecure connection. 
NACUserid Userl ; Set up Network Access based on Üserl 

; EndTelnetParms 


Defansif filtreleme 


Harici bir güvenlik bilgisi ve olay yöneticisi, ağdaki birden çok kaynak ve sistemden gelen 
iletileri analiz edip ilişkilendirerek, TCP / IP yığına savunma filtreleri yükleyerek saldırıları 
engellemek için harekete geçebilir. Savunma filtresi, IP güvenlik filtrelerinden ayrı olarak 
paketleri atmak için kullanılan bir IP filtresi kuralıdır ve belirli bir saldırıyı veya saldırı 
düzenini engellemek için genellikle kısa bir süre (örneğin, 30 dakika) yüklenir. Savunma 
filtresi tarafından engellenen trafiğin uzun vadede engellenmesi gerekiyorsa, IP güvenlik 


reddetme kuralı eklemek için yapılandırılmış IP güvenlik politikanızı güncelleyin. 


Savunma filtresi, target trafiği hedeflemek için aşağıdaki özelliklerin bir kombinasyonunu 


kullanır: 
. IP kaynağı veya hedef adresi 
: IP protokolü 
. Kaynak veya hedef bağlantı noktası 
. ICMP türü veya kodu 


. Akış yönü 


. Trafik türü: Yönlendirilmiş veya yerel Sanal Özel Ağ - Virtual Private Network 


Örneğin, Telnet sunucusu için hedeflenen IP adresi 10.1.1.1'deki tüm TCP trafiğini 
engellemek için bir savunma filtresi yüklenebilir. Bu filtrenin özellikleri aşağıdaki 
özelliklerdir: 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 241525 


. IP kaynak adresi 10.1.1.1'dir. 
: IP protokolü TCP'dir. 

. Varış noktası 23'tür. 

. Akış yönü gelen. 

. Trafik yereldir. 


Her 7/05 sistem imajı 


için bir DMD örneği var 


Başka bir external 
sistem. z/ OS, Linux 
ve bunun gibi 


> 4 | savunma 
yv EMEN 4 filtreleri 
z!0S Unix komut 
oturumundan bir 
ipsec komutu verilir 


DMD bir CINET ortamında 8 
den fazla 7/0S TCPIP 
kümesini işleyebilir 


z/0S sistem imajı 


Savunma filtrelerine IP güvenlik filtrelerinden daha yüksek öncelik verilir. Yani, IP filtresi 
işleme, IP güvenlik filtrelerini kontrol etmeden önce, kurulu tüm savunma filtrelerini paketle 
eşleşip eşleşmediğini denetler. TCP / IP yığınına bir savunma filtresi eklendiğinde, filtre 


arama sırasının en üstüne yerleştirilir 


Savunma filtreleri -F birincil seçeneğiyle z / OS© UNIX ipsec komutu kullanılarak eklenir ve 


yönetilir. 


Savunma filtreleri genellikle harici güvenlik bilgileri ve olay yöneticisinin analizinden 
kaynaklanan otomatik bir eylem olarak eklenir. Yönetici, gerekli savunma filtrelerini 


yükleyen ipsec komut kümesini yayınlar. 


Ipsec komutunu el ile vererek savunma filtresi de ekleyebilirsiniz. 
Bir savunma filtresi oluşturulduktan sonra, ipsec komutunu kullanarak filtrenin kullanım 
ömrü gibi bazı niteliklerini güncelleyebilir ve ayrıca savunma filtrelerini görüntüleyebilir ve 


silebilirsiniz. 
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OpenSSH 


Telnet ve FTP gibi TCP/IP bağlantı uygulamalarında network üzerinde taşınan veri ve 
parolalar şifrelenmeden taşınır. Bu networkte dolaşan veri ve parolaların ele geçirilmesi ve 


başka kullanıcılar tarafından okunması demektir. 


SSH protokol süiti Telnet ve FTP için güvenlik alternatifleri sunan bir yazılımdır. SSH hem 
istemci hem de sunucunun yetkilerini tetkik eder ve networkte dolaşırken verinin tümünü 
şifreler (kullanıcı ID' leri ve parolaları) . Kasım 2008'de, SSH' ın tüm sürümlerinde teorik bir 
güvenlik açığı fark edildi. Bu şifrelenmiş metnin bir bloğundan 32 bit üzerinde bir düz metin 
dönüşümüne izin veren bir güvenlik açığıydı. Bu durumda Standart OpenSSH 
yapılandırmasını kullanarak, saldırganların başarı olasılığını ortadan kaldırmak için 
OpenSSH 5,2 çıkarıldı. 


z/ OS V1R12 ile OpenSSH' de aşağıdaki yükseltmeler yapılmıştır: 
» OpenSSH versiyon 5.0p1'e yükseltme 
»e OpenSSH için SMF 'e log kayıtlarının girilmesini sağlama 
» OpenSSH'de RACF keyring desteğini sağlama 


z/OS' un yeni IBM Ported Tools version' u 7/0OS OpenSSH V1R2' yi OpenSSH 5.0p1, 
OpensSSL 0.9.8kve zlib 1.2.3.'e yükseltmiştir. 


Not: OpenSSH z/OS sistemlerine hem uzaktan logon için hem de dosya transferi için 
güvenli şifreleme olanağı sağlar. OpenSSL, Secure Sockets Layer (SSL) ve Transport 
Layer Security (TLS) protokollerinin açık kaynak uygulamasıdır. OpenSSH veri sıkıştırma 


kütüphanesi olarak zlib'i kullanır. 


OpenSSH iki network cihazı arasında güvenlik kanalıyla veri değişimine izin veren bir 
network protokolüdür. Birincil olarak Linux ve Unix tabanlı sistemlerin kabuk hesaplarına 
ulaşmak için kullanılmıştır. OpenSSH protokolü Telnet gibi güvenlik yetenekleri olmayan 
network protokollerinin yerini almak için tasarımlanmıştır. Telnet gibi sistemlerde veri içinde 
bağlantı parolası da görülebilecek şekilde şifrelenmeden gönderilmektedir. . OpenSSH 


protokolünde ise gönderilen tüm veriler şifrelenerek güvenlik sağlanmış olur. 
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OpenSSH uzak bilgisayarla bağlantı için şifreleme ve doğrulama algoritmaları 


kullanmaktadır. 


Genellikle uzak bilgisayara bağlanıp komutlar çalıştırmak için kullanılır. 

SSH sunucusu varsayılan olarak 22 numaralı standart TCP portunu dinler. 

SSH istemci programı uzak bağlantıyı kabul ederek SSH sunucusu ile bağlantıyı 
kurar. 

Hem SSH sunucusu hem de SSH istemci programı birçok modem işletim 
sistemi tarafından desteklenmektedir. 

SSH birçok uygulamayla beraber kullanılan bir protokoldür, örneğin SSH 
protokolü kullanılarak VPN oluşturmak ancak OpenSSH sunucu ve istemci 


uygulamaları kullanarak mümkündür. 


z/OS da OpenSSH aşağıdakileri içerir: 


Secure FTP (sftp) 

Secure copy (scp) 

Remote login (ssh) 

İstemcilerin sisteme bağlanmalarını dinlemek için kullandığı ssh daemon 


programı (sshd) 


OpenSSH güvenli şifrelenmiş iletişimleri sağlamak için Blowfish ve 3DES gibi algoritmaları 


kullanır. 


IBM Ported Tools for //0S: OpenSSH z/OS için aşağıdaki olanakları sunar: 


Sistem Yetkilendirme Hizmeti (SAF) anahtarlığında (key ring) SSH için 
anahtarlar bulundurma. 

Çok katlı güvenlik. 

System Management Facility (SMF)'e kayıt sağlama (yeni olarak SMF 119 kayıt 
tipleri). 


ICSF şifrelemeleri ve MAC algoritmaları. 
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RACF Anahtarlıkları (key ring): 


Anahtarlık, bir ağ iletişiminde güven ilişkisini tanımlayan bir sertifika koleksiyonudur. 
İstemci-sunucu ağ ortamında, varlıklar kendilerini dijital sertifikalar kullanarak tanımlar. 
Diğer kuruluşlara ağ bağlantısı kurmak isteyen z/OS' deki sunucu uygulamaları, istemcinin 


güvenilirliğini belirlemek için RACF anahtarlıklarını ve diğer ilgili hizmetleri kullanabilir. 


Anahtarlıklar, sertifika imzalayanlarla ilişkili açık (public) anahtarları içerir. Bu açık 
anahtarlar gerçekte sertifikaların kendisinde bulunur. Bu nedenle, bir sertifikanın 
doğrulanması için farklı bir sertifikanın, imzalayanın sertifikasının kullanılması gerekir. Bu 
şekilde, bir zincir sertifikalar oluşturulur, bir sertifika başka bir sertifika kullanılarak 
doğrulanır ve bu sertifika başka bir sertifika ile doğrulanır vb. Bir sertifika ve onunla ilişkili 
açık anahtar, kök sertifika olarak tanımlanabilir. Kök sertifika kendinden imzalı, 

yani sertifikada bulunan açık anahtar sertifikayı imzalamak için kullanılır. Kök sertifika 


kullanmak, kullanıcının kök sertifikaya güvendiğini gösterir. 


Anahtarlıklar RACDCERT RACF komutu kullanılarak yönetilir ve DIGTRING genel kaynak 


sınıfında tutulur. 


Örnek: 


--——> sr all class(digtring) 
CICSPSTC.CicsPlexRing 

IBMUSER. SecureFTPKeyRing 
IBMUSER. SHAREDRINGI 


IZUSVR.IZUKeyring.IZUDFLT 


WOEMADM.WASKeyring.BBNBASE 


WSADMSH.WASKeyring.BBNBASE 
WSCRU1I.NASKeyring.BBNBASE 
WSCRU1.NASKeyring.BBNBASE.Root 

WSCRU1.WNASKeyring.BBNBASE.Signers 


WSSRU1.WASKeyring.BBNBASE 
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Virtual (sanal) anahtarlık: 


anahtarlık CERTAUTH altındaki 


kullanılmasına izin verir. Bu şekilde, uygulamalar gereksiz anahtarlıkları ortadan kaldırarak 


Sanal tüm sertifikaların “sanal” anahtarlık olarak 


kendi anahtarlıkları yerine bu anahtarlığı kullanabilirler. 


Hatırlatma: Sanal bir anahtarlığın adı her zaman bir yıldız işareti ile başlar. 


» Tüm kullanıcılar için mevcut olan tüm sertifikalar kümesini 


»e Önceden tanımlı *AUTH* ve *SITE* sertifikaları bulundurur. 


Birçok işletim sistemi, tüm kullanıcılar için kullanılabilen CA sertifikaları içerir. 


bunun karşılığı sanal anahtarlık “virtual rings” tır. 


İğ, certmar - (Sertifikalar - Geçerli KullanıcıNÜçüncü Taraf Kök Sertifika YetkilileriNSertifikalar) 


RACF' te 


Dosya Eylem Görünüm Yardım 
o oa'dmıi kö) xa B| den 
İŞ Sertifikalar - Geçerli Kullanıcı İ Verilen 7 Veren Süre Sonu Hedeflenen amaçlar o Kolay Ad Durum Sertifika Şablonu 


Gİ Kişisel 


ş ği | El AddTrust External CA Root AddTrust External CA Root 30.05.2020 Sunucu Kimlik Doğ... — Sectigo (AddTrust) 
— e Ala pm Yetkil || EZ) Baltimore CyberTrust Root Baltimore CyberTrust Root 13.05.2025 Sunucu Kimlik Doğ...  DigiCert Baltimore ... 
lez bünltin Se | Şi certum ca Certum CA 11.06.2027 OCSP İmzalama, Su...  Certum 
5 Active Directory Kullanıcı Ney | E3l Certum Trusted Network CA Certum Trusted Network CA 31.12.2029 Sunucu Kimlik Doğ...  Certum Trusted Net... 
kei — eşe | ŞI Class 3 Public Primary Certificat... Class 3 Public Primary Certificatio... 2.08.2028 Sünucü Kimlik Doğ... VeriSiğm Clas 3 Pu. 
Bİ Seriirikmler | EICOMODO ECE Certification Au... COMODO ECE Certification Auth... 19.01.2038 Sunucu Kimlik Doğ...  Sectige (formeriy C... 
X 53 Güvenilmeyen Sertifikalar || EJCOMODO RSA Certification Av... COMODO RSA Certification Ayth... 19.01.2038 Sunucu Kimlik Doğ...  Sectigo (formeriy C.. 
5 Sertifika Güven Listesi | || Es Deutsche Telekom RootCA2 Deutsche Telekom Root CAZ 10.07.2019 Güvenli E-posta, Su... Deutsche Telekom ... 
& Gi Üçüncü Taraf Kök Sertifika Ye | Zal DigiCert Assured ID Root CA DigiCert Assured ID Root CA 10.11.2031 Sunucu Kimlik Do DigiCert 


3 Sertifikalar 
Zİ Güvenilir Kişiler 


| EŞİ DigiCert Global Root CA 
| EE 


Cert Global Root CA 


Sunucu Kimlik Do; 


DigiCert 


Zİ İstemci Kimlik Doğrulaması Vİ | EŞİ DigiCert Global Root 63 Cert Global Root G3 15.01.2038 Sunucu Kimlik Do: DigiCert Global Roc... 
Dİ Diğer Kişiler | EŞİ DigiCert High Assurance EV Ro...  DigiCert High Assurance EV Root... 10.11.2031 Sunucu Kimlik Doğ... o DigiCert 
Tİ Local NonRemovable Certific! | EZİDST Root CA X3 DST RootCAX3 30.09.2021 Güvenli E-posta, DST Root CA Xx3 
Tİ IyncCertStore EZİD-TRUST Root Class 3 CA 22009 D-TRUST RootClass3 CA 22009 5.11.2029 Sunucu Kimlik Do: D-TRUST Root Clas... 
Zİ MSIEHistorylournal | EZlEntrust Root Certification Auth... oEntrust Root Certification Authority o 27.11.2026 Sunucu Kimlik Do: Entrust 
Zİ Sertifika Kayıt İsteği İ Eğl Entrust Root Certification Auth... o Entrust Root Certification Authori... o 7.12.2030 Sunucu Kimlik Do; Entrust.net 
Zİ Akılı Kart Güvenilen Kökleri || Eğl Entrust.net Certification Author... Entrust.net Certification Authority... 24.07.2029 Sunucu Kimlik Do Entrust (2048) 
İ EZ Eguifax Secure Certificate Auth... o Eguifax Secure Certificate Authority (22.08.2018 Güvenli E-posta, GeoTrust 
E-Tugra Certification Authority o E-Tugra Certification Authority 3.03.2023 Sunucu Kimlik Doğ... o E-Tugra Certificatio... 
İ 
| EŞİ GeoTrust Global CA GeoTrust Global CA 21.05.2022 Sunucu Kimlik Doğ... o GeoTrust Global CA 
| EZI GeoTrust Global CA 2 GeoTrust Global CA 2 4.03.2019 Sunucu Kimlik Doğ... — GeoTrust Global CAZ 
| EŞİ GeoTrust Primary Certification ...  GeoTrust Primary Certification Au... 17.07.2036 Sunucu Kimlik Doğ... o GeoTrust 
| EŞİ GeoTrust Primary Certification .. o GeoTrust Primary Certification Au... 2.12.2037 Sunucu Kimlik Doğ... o GeoTrust Primary C... 
| EZI Glebalsign GlobalSign 18.03.2029 Sunucu Kimlik Doğ... GlobalSign Root C 
| EŞİ Globalsign GlobalSign 15.12.2021 Sunucu Kimlik Doğ... o Google Trust Servi 
| EŞİ GlebalSign Root CA GlobalSign Root CA 28.01.2028 Sunucu Kimlik Doğ... GlobalSign RootCA... 
İ EEIGe Daddy Class 2 Certification ... Ge Daddy Class 2 Certification Au... | 29.06.2034 Sunucu Kimlik Doğ... o Go Daddy Class2C... 


İ EŞl Go Daddy Root Certificate Auth.... 


| ES Hotspot 2.0 Trust Root CA - 03 


| EŞIMicrosoft ECC Product Root Ce... 


| EŞİ GuoVadis Root CA 2 
| ŞI Guovadis Root CA 2 63 


| EZI GuoVadis Root Certification Au... 


| EŞİ SecureTrust CA 
| Bi Security Communication Root, 
| EZİStarfield Class 2 Certification 


| EŞIStarfield Root Certificate Autho... 


Go Daddy Root Certificate Author... 
Hotspot 2.0 Trust Root CA - 03 
Microsoft ECC Product Root Certi... 
OuoVadis Root CAZ 

GuoVadis Root CA 2 G3 

OuoVadis Root Certification Auth... 
SecureTrust CA 

Security Communication RootCA1 
Starfield Class 2 Certification Auth... 
Starfield Root Certificate Authorit... 


29.06. 
1.01.2038 


Şekil 1,8 — Windows'ta Sertifikaların tutulduğu yer - certimgr 


Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
<Tümü> 

Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ. 
Sunucu Kimlik Do, 


Sunucu Kimlik Do: 
Sunucu Kimlik De. 
Sunucu Kimlik Doğ... 


Anahtarlıkların etkin kullanılması ile sertifikaları yönetmek için 


Go Daddy Root Cer... 
Hotspot 2.0 Trust R... 
Microsoft ECC Prod... 
OuoVadis Root CAZ 
GucVadis Root CA .. 
OuoVadis Root Cert... 
Trustwave 

SECOM Trust Syste. 
Starfield Class 2 C, 
Starfield Root Certif... 


Kök Sertifika Y... 


harcanan çaba, önemli 


ölçüde azalır. Bir sertifika üretildikten (ya da dışarıdan alındıktan) sonra, erişebilir olması 


için bir anahtarlığa bağlanmalıdır. Aynı sertifika birden fazla anahtarlığa bağlanabilir. 


Örnek 


Bu örnekte, İşlem Katmanı Güvenliği'ne (TLS) sahip bir 2/OS ftp istemcisi ile sanal bir 


anahtarlık kullanımı gösterilmektedir. 
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Bir 2/OS ftp kullanıcısı, aşağıdaki koşulların tümü doğru olduğunda kimlik doğrulama için 


FTP sunucusunun sanal CERTAUTH anahtarlığını kullanabilir: 


» Kullanıcının FTP.DATA dosyasında aşağıdaki gibi belirtilen bir KEYRING yönergesi 
vardır: 
KEYRING * AUTH */* 


» Kullanıcı FTP komutunda -a TLS veya -r TLS belirterek FTP' yi TLS kullanmaya 
yönlendirir: 


ftp -r TLS ftp.ibm.com 
İstemci kimlik doğrulaması gerekli değildir ve sanal anahtarlık yalnızca FTP sunucusunun 


kimliğini doğrulamak için kullanılır. 


Sunucu ve istemcileri tam olarak yetkilendirmek için, sayısal sertifikalar uygulama 
tarafından o kullanılan güvenlik soket fonksiyonlarının erişebileceği bir depoda 


depolanmalıdır. 


Certificate 1; 
Digital certificate information for CERTAUTH: 


Label: Verisign Class 3 Primary CA 
Certificate ID: 2Ç0iJmZmbhZmijgeWFmYmiiYeVvçMOTgaKiÇOPNA15mJ1IGZgEDDWUBA 
Status: TRUST 
Start Date: 1996/01/29 03:00:00 
End Date: 2028/08/02 02:59:59 
Serial Number: 
>70BAE41D010D092934B638CA7BO3CCBABF< 


Issuer's Name: 
>OU-Class 3 Public Primary Certification Authority.O-VeriSign, Inc..C-< 


>USs< 


Subject's Name: 
>OU-Class 3 Public Primary Certification Authority.O-VeriSign, Inc..C-< 


>US< 
Signing Algorithm: md2RSA 
Key Type: RSA 
Key Size: 1024 
Private Key: NO 
Ring Associations: 
Ring Owner: IBMUSER 
Ring: 
>SecureFTPKeyRing< 


Chain information: 
Chain contains 1 certificate(s), chain is complete 
Chain contains ring in common: IBMUSER/SecureFTPKeyRing 


İkKKKKİKKKKKİkİkkAKİkkkkkkkkkkkkkkk Bottom of Data KKK kkk kkkkkkkkk 


Şekil 1,9 — RACF' te tutulan bir sertifika örneği 
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Uygulama kodu depoda tutulan sertifikanın tipine bağlı olarak farklı olabilir, o zaman 
deponun yeri ve tipi genel bir parametreyle uygulamaya parametre olarak geçilir. 
Uygulama belirli bir sertifikaya sertifika üretilirken o sertifikaya verilmiş bir etiketi kullanarak 


başvurur. 


z/ OS üç sertifika deposunu destekler: 
HFS Veri tabanı — 


Sayısal sertifikalar bir HFS veri tabanında saklanabilir. Birden çok veritabanları olabilir ve 
her bir veri tabanı birden çok sertifika tutabilir. Güvenli bir dosyada şifrelenmiş olarak 
tutulan veri tabanı bir parolayla da korunmalıdır. Uygulama veri tabanının tam path adını 


ve parolayı ya da güvenli yerde tutulan dosya adını bilmelidir. 


RACF Anahtarlığı (Keyring) — Sayısal sertifikalar RACF tarafından yönetilen bir 
anahtarlık veri tabanında saklanabilir. Anahtarlık bir veya daha fazla sayısal sertifikayı 
bulundurabilir. Bir sistemde birden çok anahtarlıklar bulunabilir. RACF anahtarlıkları 


sertifikaların üç kategorisine sahiptir, 
» Belirli kullanıcıların sahip olduğu sertifikalar 


» Sertifika sağlayıcısından (CA'den) alınmış sertifikalar 


»e SİiTE-level sertifikalar RACF anahtarlıkları kullanılması ile, uygulamanın sadece 
anahtarlığın adını ve anahtarlığa ulaşması için kendisine verilen yetkiyi bilmesi 
gerekir. 


Digital ring information for user CICSTEST: 


Ring: 
>CicstestRing< 

Certificate Label Name Cert Owner USAGE DEFAULT 
VBTSSO ID(CICSTEST) PERSONA NO 
VBTSSOR ID(CICSTEST) PERSONAL NO 
VBTplex2 CICS SITE PERSONAL YES 
.ABELO0000001 CERTAUTH CERTAUTH NO 
.ABELO0000002 CERTAUTH CERTAUTH NO 
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Ring: 


>CicststRing< 
Certificate Label Name Cert Owner USAGE DEFAULT 
VBTplex2 TEST Site SITE PERSONAL YES 


Şekil 1.10 — RACF' te tutulan bir digital ring örneği 


LDAP Server — Sayısal sertifikalar LDAP' ın desteklendiği bir sunucuda saklanabilir 
Sertifikalara LDAP için seçilmiş LDAP ismi ile ulaşılabilir. Her ne kadar z/OS üzerinde bir 
LDAP sunucusu oluşturmak mümkünse de, sunucu herhangi bir platformda çalışan bir 
sunucu olabilir. LDAP esaslı sertifikaları kullanacak uygulamalar, LDAP sunucusunun IP 
adresini ya da host adını bilmelidirler. 


RACF'te sayısal sertifikalar ve anahtarlıklar esas olarak RACDCERT komutu kullanılarak 


yönetilir. GSKKYMAN anahtar veri tabanı dosyasında tutulan sertifikaları yönetir. 


GSKKYMAN KACDCERT 


Şekil 1.11 — RACDCERT ve GSKKYMAN 


OpenSSH güvenli iletişimin gerektiği her ortamda kullanılabilir. Sadece karşı sisteme 
bağlanıp komut çalıştırmak ya da dosya aktarımı yapmak için değil, doğasında güvensiz 
(şifrelenmemiş trafik) olarak çalışan protokoller OpenSSH üzerinden güvenli bir şekilde 
kullanabilir. 


gskkyman, bir z / OS dosyası veya PKI özel anahtarları, sertifika istekleri ve sertifikalar 
içeren ve sertifikaları yöneten z / OS shell tabanlı bir programdır. z / OS dosyasına anahtar 
veritabanı denir ve kural olarak .kdb dosya uzantısına sahiptir. .kdb dosyasının karşılığı 


olan bir .rdb dosyası da vardır. 


Z/OS içinden gskkyman'e ulaşmak için tso omvs komutu kullanılır: 
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Press ENTER to continue. 


Database Menu 


1 —- Create new database 

2 - Open database 

3 - Change database password 

4 - Change database record length 

5 - Delete database 

6 - Create key parameter file 

7 - Display certificate file (Binary or Base64 ASN.1 DER) 


11 - Create new token 

12 - Delete token 

13 - Manage token 

14 - Manage token from list of tokens 


o 
I 


Exit program 


Enter option number: 


sz> 


Şekil 1.12 — omvs'te gskkyman paneli 


1.5 z/OS FTP ile Güvenli Transferler 


z/ OS ortamlarında Dosya Aktarım Protokolü (FTP) kullanımı, sürekli olarak hem gelen hem 
de giden veri olarak artmaya devam etmektedir - bu aktarımların birçoğu hala 
onaylanmamış, düzenlenmemiş, güvenli olmayan ve izlenmeyen bir şekildedir. Bir 
mainframe'in günde on binlerce hatta yüz binlerce aktarıma katılması olağandışı değildir. 
Fakat, yönetilmeyen FTP, mainframe işlemlerinin temel ilkelerini ihlal eder, kritik görev 
verilerinin bütünlüğünü tehlikeye atar, mainframe MIPS'sini gereksiz yere tüketir ve 


kurumsal güvenliğe zarar verir. 


Dünyanın dört bir yanındaki hackerlar, standart ftp'nin tüm açıklarına çok aşinadır. 
Otomatik, gerçek zamanlı operasyonel yönetimde, ftp'yi, ek bir katman olmadan standart 
z/OS ftp olarak kullanmak, kullanımı kolay, fakat önemli bir güvenlik açığı noktası oluşturur. 


Yönetilmeyen ftp, bulunması kolay, kilidi açık, korumasız bir arka kapıdır. 


Ayrıca, yeterli FTP otomasyonunun olmaması, z/OS toplu işlemeyi gereksiz yere karıştırır, 
işletim programlarını bozar, yardım masası personelinin zamanını alır, uyumluluğu 


tehlikeye sokar ve genel olarak hem kullanıcı hem de kurumsal verimliliği 
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sekteye uğratır. Yönetilmeyen standart ftp'nin günümüzün mainframe ortamlarında 
kullanım için uygun olmadığını söylemek yeterlidir. Bununla ilgili hiç bir şüphe veya 


tartışma olmamalıdır. 


z/ OS, Communications Server paketi aracılığıyla, sağlam ve ölçeklenebilir çoklu IP yığını 
desteğiyle tam teşekküllü, standartlara uygun FTP özelliği sağlar. Bu FTP işlevi bir 7/OS 
FIP sunucusu ve bir 7/0OS FTP istemcisinden oluşur. FTP sunucusu, uzak istemcilerden 
(örn. Alt PC'ler veya dağıtılmış Unix sistemleri) gelen FTP isteklerini işlerken, FTP 
istemcisi, ister toplu iş ister gerçek zamanlı terminal kullanıcıları (örneğin TSO kullanıcıları) 


olsun, mainframe'in uç noktalarının uzak FTP sunucularıyla etkileşime girmesini sağlar. 


Sunucu ve istemci SSL / TLS tabanlı güvenliği destekler ve belirli önemli olaylar için Ağ 
Yönetimi Arabirimi (NMI) kayıtları oluşturur. Sunucu, çağrılabilir program çıkış işlemi içerir. 


Sunucu ayrıca NMİ kayıtlarında bulunan verileri, SMF'e de kayıt edebilir. 


<< Batch Jobs 


mainframe 


Ne Local FTP user 
2 (e.g. TSO user) 


üz, im. ağ Bera ve 
> ğ Server 
Remote FTP client 


Şekil 1.12 — 2/OS ftp'nin basit çizimi 


FTP ile ilgili öncelikle dosya transfer işlemlerinde kullanılan yaygın kavram kargaşasını 


ortadan kaldırmak gereklidir. Bu kavramlar: 


FTP (File Transfer Protocol): 
» Normal FTP ya da RFC959FTP olarak da adlandırılır. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 34/525 


» Yıllardır bildiğimiz ve kullandığımız FTP protokolüdür. 

» 1985 yılında RFC959 olarak yayınlandığından beri sayısız defa geliştirilmiştir. 

» Bir RFC959 FTP istemcisi RFC959 FTP sunucusuyla konuşur. 

»e z/OS İletişim Sunucusu FIP istemcisini ve sunucusunu yıllardan beri 


desteklemektedir. 


FTP komut kanalı (command channel) ve veri kanalı (data channel) olmak üzere iki ayrı 


kanal kullanarak veri değişimini sağlar. 


Komut kanalı 21 nolu port üzerinde çalışır ve client bağlantılarını kabul etmekten ve FTP 
client ile server arasındaki basit komut alışverişlerinden sorumludur. Mesela bağlantı için 
kullanılan kullanıcı adı ve şifre bilgileri bu basit komutlara örnektir. Client bağlantıyı 
kesmek için “OUT” komutu göndermediği sürece komut kanalı açık kalır. Ya da bazen 
uzun süre herhangi bir aktivitede bulunmayan kullanıcıyı sunucu otomatik olarak 


disconnect eder. Bunlar hep komut kanalı ile gerçekleşir. 


Data channel yani veri kanalı ise isteğe bağlı olarak geçici portlar üzerinde çalışır. Ya 
sunucu üzerinde pasif modda ya da client tarafta aktif modda çalışır. Klasör listeleme ve 
dosya transferi gibi işlemlerden sorumludur. LIST, STOR ve RETR komutları ile sunucunun 
klasörleri listelenebilir, dosya yüklenebilir ve dosya indirme işlemleri yapılabilir. FTP 
oturumu süresince hep açık kalan komut kanalının aksine, veri kanalı veri transferi 
tamamlandıktan sonra kapanır. Eş zamanlı gerçekleşen veri transferi veya klasör listemele 


işlemlerini yönetebilmek için birkaç veri kanalı portu kullanılır. 


FTP hem komut hem de veri kanalında şifrelenmemiş (kriptosuz) işlem yapar. Bu kanallar 
üzerinden gönderilen her türlü veri yakalanabilir ve okunabilir. Bu güvenlik açığını kullanan 
exploitlerden en önemlisi man-in-the-middle adı verilen ARP zehirleme ve paket yakalama 


saldırısıdır. 


sftp (Secure Shell File Transfer Protocol): 
SFTP genellikle FTPS ile karıştırılır. Halbuki bu iki protokol güvenli dosya transferi harici 
ortak bir noktaya sahip değildir. SFTP genellikle SSH adı verilen Secure Shell protokolü 


üzerine kuruludur. Secure Shell sayesinde uzak sunuculardaki shell 
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hesaplara güvenli erişim sağlanır. 


FTP ve FTPS'in aksine, SFTP ayrı iki komut ve veri kanalı oluşturmaz. Hem komutlar hem 
de veriler özel formatlanmış paketlerle tek bir bağlantı üzerinden birlikte transfer edilir. 
Sunucu ve istemci arasında gönderilen bütün veriler üzerinde anlaşılan bir şifreleme çipi 
ile şifrelenir. SFTP oturumları public ve private key kullanımı ile daha da güçlendirilebilir. 
SFTP” nin özellikleri: 

»e SSH (Secure Shell)'in alt protokolüdür . 

e “IBM Ported tools for 2//0S” ve en az iki 7//OS için bağımsız yazılım sağlayıcısı (ISV) 

ürünü tarafından z/OS da desteklenmektedir. 
» RFC9S59FIPileilgisi yoktur - ikisi farklı protokollerdir. 


» Bir sftp istemcisi bir sftp sunucusuyla konuşur — RFC959 FTP sunucusuyla değil. 


SFTP, FTP komut kümesine benzer ancak tam olarak aynı olmayan bir komut kümesi verir. 
Şifreleme ve bağlantı yönetimi sağlamak için SSH protokolünü kullanır. SFTP, Linux ve 
Unix platformlarında tipiktir. 2/0S'de SFTP'den yararlanmak için SFTP istemcilerini ve 
sunucularını kurmanız gerekir. Toplu işlerin yeniden yazılmasıyla, 2//OS FTP istemcisi ve 
sunucuları, SFTP istemcisi ve sunucuları aracılığıyla bazı bilgi aktarımlarını iletmek ve 
sonuç olarak güvenli SSH "tünelleri" yoluyla veri iletmek için yapılabilir. Bu dönüştürme, 
zJOS FTP istemcisini "saran" ve aktarımları SSH proxy'leri aracılığıyla yönlendiren bir 
uygulama yükleyerek de otomatikleştirilebilir. 


SFTP'nin üstünlükleri 


FIPS desteği z / OS platformunda yerleşik olarak bulunur. MVS data setlerini, ASCII- 
EBCDIC çevirisini ve JES'i kullanır. Ancak, SFTP teknolojik olarak üstündür: Aktarım 
verilerini şifreler ve sıkıştırır. Aktarım sırasında veri bozulmasına karşı koruma sağlamak 
için daha sofistike bir mekanizma sağlar. SFTP ek güvenlik duvarı oluşturacak şekilde tek 


bir bağlantı noktası ile çoğullanır. 


FTPS (File Transfer Protocol Secure): 


FTP protokolü ilk hazırlandığı zamanlar güvenlik çok büyük bir sorun değildi. O 
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zamandan bugüne çok şey değişti ve public bir ağa veri gönderirken bu veriyi 
şifrelememek çok riskli hale geldi. Hatta bazı durumlarda bu tür bir işlem yasaklandı. PCI- 
DSS ve HIPAA gibi düzenlemeler veri transferinin şifreleme ile korunması gerektiğini 
belirtir ve bunu zorunlu kılar. Bu güvenlik sorununa çözüm bulmak adına FTP protokolüne 
birkaç güvenlik eklentisi teklif edildi. Böylelikle başka ağlar üzerinde seyahat eden FTP 


verisi SSL şifrelemesiyle korunacaktı. 


FTPS Implicit SSL ve FTPS Explicit SSL olmak üzere iki çeşit FTPS yöntemi vardır. Her 
ikisi de SSL şifrelemeyi kullanır. 


Implicit SSL 


Implicit SSL modunda herhangi bir veri transferi olmadan önce sunucu ile istemci arasında 
bir SSL oturumunun kurulması zorunludur. Implicitin buradaki sözlük anlamı “itirazsız, 
kesin” demektir. Yani bu kelimeden de anlaşılacağı üzere SSL oturumu yoksa her türlü 
bağlantı denemesi sunucu tarafından reddedilir. Bu noktada herhangi bir itiraz veya 
pazarlık söz konusu değildir. FTPS implicit SSL servisleri genelde 990 nolu portta çalışır. 
Günümüzde bu metot diğer FTPS Explicit SSL metoduna göre eskimiş, modası geçmiş 


hükmündedir. 


Explicit SSL 


Explicit SSL modunda sunucu ve istemci veri transferi esnasında koruma ve güvenlik 
seviyesiyle ilgili pazarlık yapabilir. Bu şu açıdan çok faydalıdır: sunucu hem şifresiz FTP 
hem de şifrelenmiş FTPS oturumlarını tek bir port üzerinden sunabilir. Explicit SSL 
modunda istemci ilk önce FIP servisine şifrelenmemiş bir bağlantı kurar. Kullanıcı 
bilgilerini göndermeden önce istemci sunucunun komut kanalından SSL ile şifrelenmiş bir 
kanala geçmesi için AUTH TLS veya AUTH SSL komutlarını gönderir. SSL kanalının 
başarılı bir şekilde kurulmasının ardından istemci FTP sunucuya kullanıcı bilgilerini 
gönderir. Oturumun açılışı esnasında bu kullanıcı bilgileri SSL kanalı tarafından otomatik 

olarak şifrelenir. PROT komutuyla da veri kanalı üzerindeki koruma seviyesinin istemci ve 


sunucu arasında pazarlığı yapılır. 
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FTPS'in genel özellileri: 

» FTPSSL, RFC 4217 FIP, FTPAUTH-TLS, FTP AUTH-SSL olarak da adlandırılır. 

» RFC959FTP özelliğindedir fakat Kerberos ya da SSL/TLS gibi, standart güvenlik 
mekanizması kullanılarak (yetkilendirme, veri doğruluğu ve veri gizliliği) tam bir ağ 
güvenliği ile genişletilmiştir. 

» SSL/TIS, RFC4217”TLSile güvenli FTP” tarafından belirtilen korumadır. 

» Bağlantı kontrolü ve veri bağlantısının her ikisi de güvenliklidir. 


» Ne kullanıcı ID'si ne de parola transfer sırasında açıkça ortalıkta görülür. 
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z | OS dosya aktarım teknolojilerinin güvenlik açısından karşılaştırılması 


FTP security'siz FTPS ssıyrıs FTP ıpsec SFTP 
Kullanıcı kimliği ve 
: yok var var var 
şifre koruması 
Veri koruması (dosya ok ak Yak vr 
transfer edilirken) y 
z/OS UNIX dosya var var var var 
desteği 
z/OS MVS data set var var var yok 
desteği 
Sistem z donanımsal na var var var 
şifreleme tekniklerinin 
kullanlabilmesi 
Ortak anahtarların na yok var var 
yerel olarak 
depolanan kopyaları 
ile iş ortağı kimlik 
doğrulaması 
X509 sertifikaları na var var yok 
yardımıyla Partner 
kimlik doğrulama 
SAF anahtarlıklarının na var var var 
ve / veya |ICSF'in 
kullanılabilmesi 
FIPS 140 —2 modu na var var yok 
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z/OS FTP Büyük Resim 


Şekil 1.13 — 2/OS ftp büyük resim 


Server Security 
FIPDATA database SMF Syslogd 


* SOL gueries 


* Submitjobs 

* Ouery job status 

* Retrieve job output 
* Transmit NJE data 


ia - 


Remote FTP Client o Clear-text connections, 
or secured with SSL/ 
TLS, Kerberos, or 
iü MER ene 
| z/OS FTP Client 5 iles 
TSO, UNIX Shell, * ZOSUNIX pipes 
Batch job, Application 
Using FTP client API 


Remote FTP Server 


The remote FTP partners may 
reside on any platform that 
supports the FTP protocol and its 


various security extensions. Client Security 
FTP is an open standards FTPDATA database 
protocol. 

Önemli Not: 


Sunucunuzun FIP.DATA verilerini yıllar önce oluşturduysanız, hlg.SEZAINST içindeki 
FIPSDATA member'ına göre yeniden oluşturmanızı öneririz. Son sürümlere birçok yeni 


seçenek eklendi ve hepsi dokümantasyon amacıyla bu örnek member'a dahil edildi. 


Lokal z/0OS FTP sunucusunun güvenli hale getirilmesi 


1. Ana güvenlik platformunun kurulması ön koşuldur. 
9 Uygun MVS dataset erişim koruması ile tanımlanmış kullanıcılar 
9 Uygun kullanıcı ve grubun sahipliğine ve kullanıcı/grup erişim izinlerine sahip olacak 
şekilde tanımlanmış 2/OS UNIX dosyaları 
2. FTP sunucu — özel SAF kaynak tanımları 


SERVAUTH kaynak görüntüleri (profilleri) yardımıyla 
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3.Sunucunun FTP.DATA yapılandırma dosyasındaki güvenlik ile ilgili seçenekleri. 
» Anonim erişim talebi gibi seçilen isteklere FTP sunucusunun nasıl tepki 
vereceğini öngören değişik görüşlerin idaresi 
4. FTP sunucusunda seçimlik güvenlik exit'leri 
FTP (file transfer protocol) için /OS V2.1 de iki exit geliştirilmiştir: 
» EZAFCCMDexit'i 
FTP komutlarının ret edilmesi, değiştirilmesi, denetlenmesi ve ayrıca FTP istemci 
oturumlarının sona erdirilmesini olanaklı kılmak için yazılmış bir exittir. FTP komutu FTP 
sunucusuna gitmeden önce FTP istemcisi tarafından çağırılan bir kullanıcı exit'idir. 
Exit'e aşağıdaki bilgiler geçer: 
» EKxit'e geçirilen parametrelerin sayısı 
» TCP bağlantı ID'si 
»e Uzak kullanıcı ID'si 
» İşlenecek FTP komutu 
»e Komutun argümanları 
» Dizin tipi (MVS mi yoksa HFS mi?) 
» Z/İOSUNIX dosyatipi (FILE mi FIFO mu?) 
»e Mevcut durumdaki yerel dizin 
» MVS datasetadının tam hali ya da istemcinin 27/0S UNIX tam path adı 
»e FiIPistemcisinin mevcut yapılandırması 
» İstemci için bağlantı kontrolünün soket adres yapısı 


» SOCKS sunucusu için bağlantının soket adres yapısı 


»e EZAFCREPexit'iise 

FTP sunucuları ve FTP istemci oturumlarının sonlandırılmasıyla ilgili mesaj 
cevaplarının denetlenmesini sağlamak için yazılmıştır. EZAFCREP kullanıcı exit'i 
FTP sunucusu bağlantı kontrolü sona erdiğinde sunucudan aşağıdaki gibi bir cevap 


aldığında çağırılır. 


EZA15461 User exit EZAFCREP module modname ended the FTP client - exit reason 


code x'hexadecimal-rsncode' (decimal- rsncode) 
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Aşağıdaki bilgi kullanıcı exit'ine geçer: 


si Exit'e geçirilen parametrelerin sayısı 


& TCP bağlantı ID'si 


ii FTP istemcisi tarafından alınan FTP sunucusunun yayınladığı cevap satırı 


Örnek: 


ftp localhost 


control connection. 


data connection. 
EZA14501I IBM FTP CS V2R1 


EZA14661 FTP: using TCPCS 


EZAl14591 NAME (localhost:USERİ): 
userl 

EZAl170O11 >>> USER userl 

331 Send password please. 

EZAl1 7891 PASSWORD: 


EZA17/O1lI >>> PASS 


EZA14601 Command: 
pwd 
EZA17O1l1I >>> PWD 


EZA15481I User Exit EZAFCREP Module 
and abend reason code 

x'00000001' 

EZA14601 Command: 

guit 
EZA170O11I >>> OUIT 

221 Çuit command received. Goodbye. 


CODE: x'00000406' 
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257 “'USERL.'" is working directory. 


EZYFT311 Using //'CS390.STANDARD. TCPXLBIN' 


EZY26401 Using /etc/ftp.data for local site configuration parameters. 
EZYFT251 Using //'CS390.STANDARD.TCPXLBIN' 


for FTP translation tables for the 


for FTP translation tables for the 


EZA15351I1 Active exit routines found for user exit EZAFCREP 
EZA15541I Connecting to localhost 127.0.0.1. port 21 
220-FTPDI IBM FTP CS V2RI1 at MVS112, 


07:44:17 on 2011-06-10. 


220 Connection will close if idle for more than 5 minutes. 


230 USERI is loggedon. Working directory is "USERI.". 


EZAFCREE 


abended with abend code x'0C1000' 


EZAl555I CSVDYNEX CALL failed for user exit 


42/525 


EZAFCREP, RETURN CODE: x'04' REASON 


Şifrelenmiş FTP iletişiminde Sayısal Sertifikaları kullanmak 


Herhangi bir ftp karşılıklı dosya alış verişinde, bir sunucu ve bir istemci yer alır. İstemci, 
başlatılan dosya aktarımının sonundaki sırdaştır. İstemci, karşılıklı görüşmeyi başlattığı 
için, veri hareketinin yönünün önemli olmadığı unutulmamalıdır — kullanılan ftp get ve put 


komutları bu konunun dışındadır — 


lee 
Ç Yayımcı 


Sunucunun 
Ön Hazırlıklar 


Private anahtarı 


Şifrelenmiş FTP iletişiminde Sayısal Sertifikaları kullanmak için RACF'te bazı ön 
hazırlıkların yapılması gerekmektedir. RACF'te RACDCERT komutunun fonksiyonları ve 
sayısal sertifika ile ilgili işlemlerde kullanılacak çağrıların FACILITY class'taki RACF 


görüntülerine erişimi kontrol edilmelidir. 


Bunun için aşağıdaki tablodan yararlanılabilir. Önerilen görüntüler (profiller) (minimum 
olarak tanımlanmış olmalı ve erişim yetkisi sadece yetkili sayısal sertifika yöneticilerine 


verilmelidir: 


SETR CLASSACT(DIGTCERT DIGTCRIT DIĞTNMAP DIGTRING) 
SETR RACLIST(DIGTCERT DIGTCRIT DIGTNMAP DIĞTRING) 


RDEFINE FACILITY IRR.DIGTCERT.** UACC(NONE) 

RDEFINE FACILITY IRR.DIGTCERT.ADD UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.ADDRING UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.ALTER UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.ALTMAP UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.CHECKCERT UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.CONNECT UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.DELETE UYACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.DELMAP UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.DELRİNG UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.EXPORT UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.EXPORTKEY UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.GENCERT UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.GENREO UACC(NONE) 
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RDEFINE FACILITY IRR.DIGTCERT.LİST UACC(NONE) 
RDEFINE FACILITY IRR.DIGTCERT.LISTMAP UACC(NONE) 

RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)RDEFİNE FACILITY IRR.DIGTCERT.MAP 
UACC(NONE) 

RDEFINE FACILITY IRR.DIGTCERT.REMOVE UACC(NONE) 


Sistem yöneticisinin sertifika yönetmesine izin vermek için: 


PE IRR.DIGTCERT.** CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.ADD CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.ADDRING CL(FACI) ID(SYS1) AC(CO) 
PE IRR.DIGTCERT.ALTER CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.ALTMAP CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.CHECKCERT CL(FACI) ID(SYS1) AC(CO) 
PE IRR.DIGTCERT.CONNECT CL(FACI) ID(SYS1) AC(CO) 
PE IRR.DIGTCERT.DELETE CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.DELMAP CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.DELRİNG CL(FACI) ID(SYS1) AC(UP) 

PE IRR.DIGTCERT.EXPORT CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.EXPORTKEY CL(FACI) ID(SYS1) AC(CO) 
PE IRR.DIGTCERT.GENCERT CL(FACI) ID(SYS1) AC(CO) 
PE IRR.DIGTCERT.GENRECO CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.LIST CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.LISTMAP CL(FACI) ID(SYS1) AC(CO) 

PE IRR.DIGTCERT.LISTRING CL(FACI) ID(SYS1) AC(CO) 
PE IRR.DIGTCERT.MAP CL(FACI) ID(SYS1) AC(UP) 

PE IRR.DIGTCERT.REMOVE CL(FACI) ID(SYS1) AC(CO) 


Kullanıcıları listelemek ve kendi sertifikalarına ve anahtarlıklarına erişmelerine izin vermek 
için: 

PE IRR.DIGTCERT.LIST CL(FACI) ID(*) AC(RE) 

PE IRR.DIGTCERT.LISTRING CL(FACI) ID(*) AC(CO) 


Ayrıca TCPIP.FTP.DATA dosyasına istemci tanımları konulmalıdır: 


EXTENSIONS AUTH TLS ;enable the AUTH SSL ftp command 
SECURE MECHANISM TLS ;activate TLS 
KEYRING *AUTH#/* ;userid/ring-name 
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Sunucu için TOPIP.FTP.DATA dosyasındaki FTP parametrelerine aşağıdakilerin de 


eklenmesi gerekir: 


EXTENSTONS AUTH TLS ;enable the AUTH SSL ftp command 


EN 
Bİ 
K 


RING FTPSSL ;userid/ring-name 


SECURE FTP ALLOWED ;use Secure FIP 


z/OS Sunucu olduğunda 


Sayısal sertifikalar ilk olarak, FTP bağlantısı başladıktan sonra sunucu istemciye sertifikayı 
geçirdiğinde kullanılır. İstemci bu sertifikayı bağlantı yapma girişiminde bulunacağı 
sunucunun kimliğini onaylamak için kullanır. Bu işleme “sunucu sertifikasını güvenli kılmak 
denir. Örneğini verdiğimiz senaryoda, istemci hiçbir sertifika ibraz etmez ve sunucu da 
istemciden sertifika sormaz. Tek gerekli olan istemcinin sunucu tarafından sunulan 


sertifikayı onaylaması ve kabul etmesidir. 


Aşağıdaki RACF komutu kullanılarak bir sunucu sertifikası tanımlanır: 


RACDCERT ID(FTPD) GENCERT * 


SUBJECTSDN(CN('your.server.name') 4 


OU('my organization') O('my section') C('AU')) * 


WITHLABEL('my server certificate') *t 


SIGNWITA (CERTAUTH LABEL('my company's CA certificate')) 


Şimdi bu sertifikanın bir sunucuyla ilişkilendirilmesi gerekmektedir. Bunun için 
anahtarlıklara başvurulur. Her anahtarlık değişik amaçlar için kullanılan bir dizi sayısal 
sertifika içerir. Aşağıdaki komutlar kullanılarak üretilen sertifikanın sunucuyla 


ilişkilendirilmesi sağlanır: 


RACDCERT ID(FTPD) * 


CONNECT (CERTAUTAH LABEL('my company's CA certificate') *t 


RING(FTPSSL 


RACDCERT ID(FTPD) * 
CONNECT(LABEL('my server certificate') *t 


RING(FTPSSL) * 
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Şüphesiz yukarıdaki komut içeriğine anahtarlık tanımı katılmalıdır. Bunun için aşağıdaki 
RACF komutu kullanılır: 


RACDCERT ADDRING(FTPSSL) ID(ETED) 


Anahtarlık için seçilecek isim ve kullanıcı ID'si, FTP sunucusuyla ilişkilendirilecek kullanıcı 
ID'si olacaktır.Şimdi istemcinin sunucu tarafından sunulan sertifikayı onaylayacağı bir 
metoda ihtiyacı vardır. Bunun için bu örnekte, sertifika sağlayıcısı olarak RACF 


kullanılacaktır. Aşağıdaki komutları kullanılarak ilk CA sertifikasını üretelim: 


RACDCERT CERTAUTH GENCERT $ 


SUBJECTSDN(OU('my organization') * 


O('my section') C('AU')) * 


KEYUSAGE (CERTSIGN) *$ 


WITHLABEL('my company's CA certificate') 


Bir kez CA sertifikası üretilince ve sunucu sertifikayı imzalayınca, istemciye bunun 
bildirilmesi gerekir. Bunun için CA export edilir ve güvenli kök CA olarak istemci yazılımına 


yüklenir: 


RACDCERT CERTAUTH * 


EXPORT (LABEL('my company's CA certificate')) *t 


DSN('your-hlg.TEST.LOCCERTA.CERT.B64') 


Bundan sonra, sertifika denetlenir 


MIIChzCCAFCgAwIBAgIBADANBgkghkiG9wOBAÇUFADBGMOSswCOYDVOOGEWJVUZEM 


MAOGA1 UEChMDSUJNMRMwEOYDVOOLEWPDUYBaLO9TIENBMROWEGYDVOODEWLURVNU 


(bazı satırlar kısaltılmıştır) 


yr9HX3/iEgDCjolgCgtYe6pgLv2tbOZniTn 


ht5gtgsXgIPLASBGrtwuftwjwlihs 


iz 


4ELVGgaVwm2RUCHBTZ75gTFvYOkYObDW3FOYE 


Artık istemci yazılımı /OS sunucusuna bağlanma girişiminde bulunduğu zaman, sunucu 


anahtarının bir kopyasını alacaktır. 
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z/ OS bir FTP istemcisi olduğunda 

z/OS altında bir uzak sisteme bağlantı kurmak için FTP kullanıldığında ( uzak sistem bir 
başka z/OS sistemi de olabilir ya da olmayabilir) ve hala sadece sunucu sertifikaları 
kullanılsa da, istemcinin uzak sunucu sertifikasını onaylaması için sunucu bilgilerine 
ihtiyacı vardır. Bunu sağlamak için iki seçenek vardır: Ya uzak sunucudan bu sunucu için 
kendisinin-imzaladığı bir sertifika alacaksınız ya da bağlanılacak site için siz CA sertifikası 


vermiş olacaksınız. 


, CA 1 sertifika 
Gevlsonika CA? sertifika FTP started task user ID'sinin CAT açık anahtarı 


— 
Götaşikanizhieni! 2 CA 2 açık anahtarı Anahtarlığı 
p CA 1 private anahtarı ile 
imzalama 


İmer 
E Dir a 
ENJ İ z 


TOP bağlantısının kurulması 


FTP Client FTP Server 


» 
Sunucu sertifikası 

açık anahtarı 
/ Sunucunun private anahtarı 


Şekil 1.14 — 7//0S FTP Client olduğunda sanal anahtarlıklar yararlı olur. 


Bir sunucudan kendi-imzaladığı sertifikayı almak için aşağıdaki RACF tanımları yapılır: 


RACDCERT ID(FTPD) *$ 

ADD( “'IBMUSER.TEST.CERT') TRUST 
WITHLABEL('PEER SS CER” ) 
RACDCERT ID(FTPD) $ 

CONNECT (LABEL( 'PEER SS CERT') *$ 
RING(FTPSSL) * 

USAGE (CERTAUTH) ) 


CA sertifikasını uzak sunucudan almak için ise: 


RACDCERT CERTAUTH * 

ADD( 'IBMUSER.TEST.CERT”') TRUST 
WITHLABEL('PEER SS CER”) 

RACDCERT ID(FTPD) $ 

CONNECT (CERTAUTH LABEL(“PEER SS CERT”') t 
RING(FTPSSL) * 

USAGE (CERTAUTH) ) 
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1.6 SERVAUTH kaynak class'ı 


TCP/IP değişik TCP/IP kaynaklarını yetkisiz erişimlerden korumak için, SERVAUTH classt'ı 
kullanır. Bunlardan en önemlisi TCP port kullanımını korumaktır. WebSphere Application 
Server for z/OS'un herhangi bir kullanıcısı, WebSphere'in pek çok TCP portlarını 
kullandığını bilir. Verilen bir WebSphere hücresi için bir port aralığının ayrılmasını 
önermekteyiz. WebSphere uygulamaları için portların bu aralıktan verilmesini uygun 


bulmaktayız. Böyle yapmak TCP port karışıklıklarını en aza indirecektir. 


Eğer kuruluşunuzdaki herhangi birisi, 28500 ile 28599 aralığındaki portların, WebSphere 
hücresi WPCELL için ayrıldığını bilirse, bu portlardan herhangi birini, başka bir amaç için 
kullanmayacaktır. Bununla beraber, belirli kimseler dışında, hiç kimsenin WebSphere 
portlarını kullanmasını istemiyorsanız, o zaman RACF'in SERVAUTH class'ını 


kullanmalısınız. 


SERVAUTH kaynak class'ı aşağıdaki fonksiyonları kontrol ederek TCP/IP kaynaklarının 


korunmasına destek olur: 


» CP kümesine erişimi: hangi kullanıcıların EZB.STACKACCESS.sysname.tcpipid. 


profilini kullanarak TCP/IP kümesine erişiceğini kontrol eder. 

» Ağ erişimini (belirtilen ağa ya da ağ segmentine kimlerin erişebileceğini 
belirleyerek): EZB.NETACCESS.sysname.tcpipid.netname. profilini kullanarak 
özel networklere erişimini kontrol eder. 

» Port erişimini (kimin TCP ve UDP portlarını kullanacağını belirleyerek). UDP 
(User Datagram Protocol) TCP'ye benzeyen başka bir protokoldür ve IP'nin en 
üstünde yer alır, fakat bağlantıları TCP'den farklıdır. Port ise, bir uygulamaya 
uyarlanmış rakamdır. Örneğin port 25 çoğunlukla email'e verilir. Bunun için 
EZB.PORTACCESS.sysname.tcpipid.portname profil adını kullanır. 
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& TN3270 Güvenli Telnet Port Erişimi 
#i Netstat Erişim Kontrolü 

# Webserver sayfa caching 

& MODDVIPA komutu 

& Soket seçeneği 

#i Network Yönetimi 


Bu fonksiyonların hepsi kullanılacak değildir. Ancak, kuruluş MVS üzerinde TCP/IP 
kullanıyorsa, o zaman bu fonksiyonlardan en azından ilk dördünü dikkate almalıdır. İşe, 
çalışmaları aksatmadan bilgi toplamak için, SERVAUTH kurallarını WARNING modunda 
tanımlayarak başlanabilir. SERVAUTH class, daha önce eksik olan bazı TCP/IP kontrollerinin, 


önemli bir boşluğunu doldurmuştur. 


Her mesajın TCP/IP ile internet üzerinde belirli bir siteye ya da bilgisayara iletilmesi için, 
mesajı yönlendirmeye yarayan bir IP adresine sahip olduğunu hatırlayalım. Her TCP/IP mesajı 
aynı zamanda bir rakam olan ve mesajı işleyecek uygulamaya bildirilmesi gerekli olan TCP 
portunu da belirler. Veri gönderilecek/alınacak bilgisayarın IP adresini bilmek yeterli değildir. 


Birbirinden bağımsız tüm verilerin, düzenle iletilebilmesi için, portlar kullanılmak zorundadır. 
Örneğin, aynı anda hem webde dolaşılıyor, hem program indiriliyor, hem mailler alınıyor hem 
de bir başka kullanıcıya program gönderiliyor olunabilir. İşte, bütün bu işlemlerin, aynı anda ve 
problemsiz işleyebilmesi için portlar kullanılmak zorundadır. Portlar standarttır. Daha önceden 
hangi işlemler için kullanılacakları belirlenmiştir. Port numarası, verinin nereden geldiğini ve 
nereye gideceğini belirler. TCP başlığında kaynak port ve hedef portların her biri 16 bitlik 


adresler olarak tutulur. 
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Aşağıdaki diyagram SERVAUTH fonksiyonunun nasıl işlediğini göstermektedir: 


yan 


TCP Fonksiyonu SYS1.TCPPARMS/PROFILE) 


si -a RACF DATABASE 


i 3 


Şekil 1.15 — SERVAUTH fonksiyonu 
1. Bir program ya da bir süreç, bağlanmak için bir port (ya da portlar) arar 


2. TCP, bu portun PROFILE member'ında bir PORT ya da PORTRANGE satırında 
tanımlanıp tanımlanmadığına bakar ve eğer tanımlanmışsa, SAF'ta şifreli olup 


olmadığını araştırır. 


3. Eğer şifre SAF'ta görünüyorsa, ICP, RACF'e, RACF'te tanımlı SERVAUTH 
profiline en az READ erişimine sahip program ya da sürecin kimliğinin görülüp 


görülmediğini sorar. 


SERVAUTH'u daha kolay anlayabilmek için in-bound erişim ile out-bound erişim 
arasındaki farklılıkları hatırda tutmak gerekir. Bir platform olarak Websphere gibi pek çok 
sunucuyu destekleyen MVS mainframe'i düşünelim. Erol isimli kullanıcının bir istemci 
olarak masasında Windows XP de çalışarak Internet Explorer ile Internet üzerinden 
mainframe'deki sunuculara erişmeyi denediğini düşünelim. Erol kullanıcısı sunuculara 


erişmeyi denerse bu istek in-bound'dur. 


Öte yandan, mainframe'deki bir program bir sunucu olmayı isterse (Erol gibi bir istemciyle 
konuşmak isterse), bu istek out-bound'tur. Örneğin, mainframe'deki Websphere ya da 
CICS, TCP/IP'ye bir bağlantı talebinde bulunursa, sizin bilgisayarınızdan Internet'e 
erişmeyi deniyor demektir, bu out-bound'tur. Bu kontrol edilmesi gereken bir talep gibi 
görünmezse, sistemin arka kapısı açık bırakılmış demektir. Kötü maksatlı kişiler bir USS 
(Unix Sistem Servis) programla kullanılmayan 
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bazı portları kullanarak bir out-bound talebinde başarılı olabilirler. Kısaca, TCP/IP de 
sadece yetkili portların açık olduğundan emin olunmalıdır, benzer şekilde sisteme sadece 
yetkili kullanıcı SVC'lerinin katıldığından da emin olunmalıdır. Denetçiler buna özen 


göstermelidirler. 


Aşağıdaki komutla SERVAUTH'u kurmak için, SERVAUTH class mutlaka RACLIST edilmiş 


olmalıdır. 
SETR CLASSACT(SERVAUTH) RACLIST(SERVAUTH) AUDIT(SERVAUTH) GENERİC(SERVAUTH) 


SERVAUTH kurallarında herhangi bir değişiklik yapıldıktan sonra değişiklikler refresh 
edilmelidir: 


SETR RACLIST(SERVAUTH) REFRESH 
ID ve gruplara SERVAUTH class görüntüsüne (profiline) READ erişim yetkisi 


vermek 


SERVAUTH profili ilk oluşturulduğundan UACC(NONE) dır. Bunun anlamı varsayılan 
olarak hiç kimse ona erişemez demektir. Yani bir WebSphere hücresi bu porta geldiğinde 
henüz bir erişim yetkisi verilmediği için başarısız olacaktır. WebSphere hücresinin portları 
kullanmasına izin vermek için WebSphere bu SERVAUTH profiline READ erişim yetkisinin 
verilmesi gerekmektedir. Bu kullanıcı ID seviyesinde yapılabilirdi fakat bu takdirde portları 
kullanma girişiminde olacak farklı pek çok |ID'ler olacaktır. Sadece WebSphere 


Konfigürasyon grubuna READ erişim yetkisi vermek işi daha kolaylaştıracaktır. 


PERMIT EZB.PORTACCESS.aaa.bbb.ccc CLASS(SERVAUTH) ID(ddd) ACC(READ) 


Burada:aaa TCP kümesinin bulunduğu sistemin adı 

bbb TCP kümesinin başlatıldığı MVS JOBNAME'i 

ccc PROFİLE member'ında PORTRANGE de verilen "SAF ismi" 

ddd hücrenin “Konfigürasyon Grup” ID si 

Yukarıdaki PERMIT komutunun ardından yapılan değişikliklerin yürürlüğe girmesini 
sağlamak için REFRESH komutu verilmelidir. 

SETROPTS RACLIST(SERVAUTH) GENERIC(SERVAUTH) REFRESH 
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Bir MVS sisteminde TCP/IP'yi denetlemek için, TCP/IP kontrol dosyasının çoğunlukla bu 
dosya PROFILE.TCPIP olarak isimlendirilir) bir kopyasının kâğıda alınması istenir. Aynı 
zamanda hangi TCP/IP portlarının yetkilendirildiğinin ve hangi uygulamaların hangi portları 
kullandığının bir listesi de tutulmalıdır. OMVS ortamından NETSTAT komutu kullanılarak 


hangi portların aktif olduğu görülebilir. 


Örnek: 


Ö netstat -o 


MVS TCP/IP NETSTAT CS VIR13 TCPIP Name: TCPIP 05:45:05 
PortÖ Prot User Flags Range IP Address SAF Name 
7 TCP MISCSERV DA 

9 TCP MISCSERV DA 

19 TCP MISCSERV DA 

20 ICP © D 

21 TCP FTPDI DA 

23 TCP TN327/0E DA 

23 ICP SMTP DA 

53 TCP  NAMED DA 

111 TCP PORTMAP DA 

446 TCP OMVS DA 

515 TCP OMVS DA 


1435 TCP CICSTEST DA 
3000 TCP CICSTEST DA 
3001 TCP CICSTEST DA 
3389 TCP MSYSLDAP DA 
5001 TCP CICSTEST DA 


5020 TCP OMVS DA 
5021 TCP OMVSs DA 
5022 TCP OMVSs DA 
5023 TCP OMVSs DA 
5024 TCP OMVSs DA 


Ayrıca yazılım için SERVAUTH güvenlik kurallarının bir listesi de alınabilir. RACF'te 


RL SERVAUTH * ALL komutu girilerek bu liste alınabilir. 


Örnek: 


CLASS NAME 


SERVAUTH CEA.CEADOCONSOLECMD 
LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING 


00 IBMUSER NONE ALTER NO 


INSTALLATION DATA 
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SECLEVEL 


NO SECLEVEL 


CATEGOR 


NO CATEGORTIES 


SECLABEL 


NO SECLABEL 


AUDITING 


FAILURES (READ) 


GLOBALAUDIT 


NO USER TO BE NOTIFTIED 


CREATION DATE LAST REFERENCE DATE LAST CHANGE DATE 


(DAY) (YEAR) (DAY) (YEAR) (DAY) (YEAR) 
234 11 234 11 234 11 
ALTER COUNT CONTROL COUNT UPDATE COUNT READ COUNT 
000000 000000 000000 000000 
USER ACCESS ACCESS COUNT 
IBMUSER ALTER 000000 
CEAGP UPDATE 000000 
ZOSMFGRP UPDATE 000000 
IZUUSER UPDATE 000000 
ID ACCESS ACCESS COUNT CLASS 


NO ENTRIES IN CONDITIONAL ACCESS LIST 


ENTITY NAME 


SERVAUTH class'daki kural isimlerinin bir parçası olduklarından TCP/IP started task'ının 


ve sistem sembollerinin de (örneğin &SYSNAME) bir listesi alınmalıdır. 


Sistem 


sembollerinin listesini almak için sistem konsolundan DISPLAY SYMBOLS komutu girilir. 


Örnek: 
00- 10.58.31 VBT d symbols 
10.58.31 VBT TEAOO7I STATIC SYSTEM SYMBOL VALUES 717 
&SYSALVL. — Ü2Ü 
&SYSCLONE. —- ÜPRDÜ 
&SYSNAME. - ÜVBTPRDÜ 
&SYSPLEX. > ÜVBTSYSTÜ 
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1.7 NESNE — ÖZNE İLİŞKİSİ 


Bir güvenlik sisteminin temel gereksinimi belirli nesnelere erişmek için öznelerin yetkisini 
ayrıntılarla belirleyecek bir dizi ilkelere sahip olmaktır. “Erişim” bilginin bir özneden bir 
nesneye ya da bir nesneden bir özneye akışını ifade eder. Örneğin, bir kullanıcı (bir özne) 
bir dataset'i (bir nesne) güncellediği zaman, bilgi özneden nesneye akmış olur. Bir kullanıcı 


bir dataset'den bir kayıt okuduğu zaman, bilgi nesneden özneye akmış olur. 


Erişim 


Nesne Özne 


Özne bu etkileşimlerde aktiftir; özne bir nesneye erişim girişiminde bulunur ( ya da 
nesnenin taşıdığı bilgiye). Öte taraftan, nesne, pasiftir, öznenin erişmek istediği bilgiyi 
tutar. Her defasında bir özne bir nesneye erişim teşebbüsünde bulunur, sistem bu erişime 


izin verip vermeme kararına sahip olmalıdır. 
Erişim kontrolünün esasları 3 A'ya dayanır: 


» Autentication: kimsin? 
» Authorization: ne yapacaksın? Hangi kaynaklara erişeceksin? 


» Accounting : ne yaptın? ne kadar süre? ne kadar sık? 


1.8 Erişim Kontrolleri 


Erişim kontrolü, bir kaynağa erişimin ve o kaynağın kullanımının kişilere yetkiler vererek ve 
kısıtlamalar getirerek sınırlanmasıdır. Örnek olarak, hassas bilgiler içeren kurumsal 
programlara erişimlerin uygun şekilde düzenlenmesi ve kullanıcıların uymaya zorlanması, 


veri tabanı ve sistem yönetim araçlarına, ilgili bilişim personeli 
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dışında erişimin engellenmesi ve sistem odasına sadece yetkili personelin girebilmesi 
verilebilir. Örneklerden de anlaşılacağı gibi erişim kontrolleri bilgi güvenliğinin ana 
bileşenleri olan gizlilik, güvenilirlik ve erişilebilirliğin üçünün de sağlanmasına katkıda 


bulunmaktadır. Bir erişim kontrol sisteminin sağladığı temel servisler şunlardır: 


» Kimlik doğrulama ile sisteme hangi öznelerin giriş yapabileceğinin belirlenmesi 

» Yetkilendirme ile öznelerin hangi işlemleri yapmaya veya hangi nesnelere erişmeye 
yetkili olduğunun belirlenmesi 

» İzlenebilirlik ile öznelerin sistemde hangi işlemleri yaptıklarının veya hangi 
nesnelere eriştiklerinin bilinmesi ve gözlenebilmesi. Güvenlik sistemi, kaynaklara 
erişimi, zorunlu erişim kontrolü, isteğe bağlı erişim kontrolü ve rol tabanlı erişim 


kontrolü olarak üçe ayırır. 


Zorunlu Erişim Kontrolü (MAC — Mandatory Access Control) 


Bu erişim metodunda erişim izni merkezi olarak kontrol edilir ve yönetilir. Bütün erişim 
şekilleri yetkililer tarafından önceden tanımlanır. Merkezi ve zorunlu bir erişim sistemi olan 
MAC'ta kullanıcıların izinlerin düzenlenmesi konusunda bir yetkisi yoktur. Zorunlu erişim 
kontrolü nesnenin içerdiği bilginin kritikliğine bağlı olarak öznenin bu kritik seviyeli bilgiye 
erişim yetkisini sınırlama ve kritik seviyeli nesnelere erişimi sınırlama prensibidir. Güvenlik 
sorumlusu (RACF SPECİAL niteliğine sahip kullanıcı) her bir nesnenin kritiklik derecesini 
güvenlik etiketi yardımıyla belirler. Bu güvenlik etiketi bilginin hiyerarşik seviyesini ya da 
bilgi gizliliğini gösterir (Top Secret, Secret, Sensitive gibi). Ayrıca güvenlik sorumlusu 
öznenin kullanabileceği güvenlik etiketlerini düzenleyerek her bir öznenin bilgiye erişimini 
kontrol eder. Bir özne bir nesnedeki bilgiye sadece öznenin güvenlik etiketi bu erişime 
uygunsa erişebilir. Eğer öznenin güvenlik etiketi yeterli yetkiye sahip değilse, özne 


nesnedeki bilgiye erişemez. 


Bu tür erişim kontrolü askeri gizlilik sınıflandırmalarında yaygın olarak görülür. Burada 
bütün bilgiler “Tasnif Dışı', “Hizmete Özel, “Gizli', “Çok Gizli' veya 'Kozmik' olarak etiketlenir. 
Kullanıcılara da hangi sınıf bilgiye erişebileceklerine ilişkin yetki seviyeleri tanımlanır. Buna 
göre kullanıcının belli bir gizlilik seviyesindeki bilgiye ulaşması için en az o seviyede erişim 


yetkisine sahip olması gerekmektedir. 
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Zorunlu Erişim Kontrolü, erişim kontrolü politikalarının mutlak surette uygulanmasını zorlar. 
Bu sayede hassas bilgilerin tutulduğu ortamlarda güvenliği sağlamak amacıyla çok sıkı 
kontrol ve denetim yapabilmeye olanak tanır. Ancak bu uygulama ile esneklik çok büyük 
oranda yitirilir. Askeri ve kamu kurumlarındaki organizasyonlarından gelen MAC, ayrıca 
“multilevel security” ve “non-discretionary” olarak da tanımlanır. 

Non-discretionary: Düzenlemeler okullanıcı ya da nesnenin sahibi tarafından 
değiştirilemez. 

Multilevel: Erişim izinleri çok katlı olarak tanımlanabilir. 

Label-based: Nesnelere erişimi kontrol etmek için etiketler kullanılır. 

Security Label: Güvenlik etiketi sınıflama içerir: Örneğin : top secret, secret, confidential 
ve unclassified gibi. 


Subjects (Konu): Güvenlik konusu kullanıcılar, sistemler ve servislerden oluşur. 


İsteğe Bağlı Erişim Kontrolü (DAC — Discretionary Access Control) 


İsteğe bağlı erişim kontrolü öznenin kimliğine bağlı olarak (kullanıcının ait olduğu grup ya 
da kullanıcı id'si) nesnelere erişimi kısıtlama prensibidir. İsteğe bağlı kontrol, erişim kontrol 
listeleri kullanılarak yapılır. Kaynak profilinde erişim kontrol listesi bulunur. Bu listede, 
kaynağa erişebilecek kullanıcılar ve bu kullanıcıların yetkileri (okuma ya da değiştirme gibi) 
yer alır. Güvenlik sorumlusu her bir nesne için (kaynak ya da kaynaklar grubu) bir profil 
tanımlar ve bu profile göre erişim kontrol listesini günceller. Bu erişim kontrolü, yaygın 
olarak işletim sistemlerinin klasör ve dosya yetkilendirmelerinde görülür. Buna göre 
kullanıcı kendisine ait olan klasöre ve kendi oluşturduğu diğer klasör ve dosyalara erişim 
için diğer kullanıcılara yetki verebilir veya kısıtlama getirebilir. Erişim yetkilendirmesinin 
kullanıcılara bırakılması erişim kontrolü politikalarının uygun şekilde uygulanamamasına 


neden olur, güvenlik açıkları oluşabilir. 


Erişim yetkilendirmelerinin bu denli dağınık bir yapıda gerçekleştirilmesi, merkezi kontrolü 
imkânsız kılmakta, kullanıcılara verilen yetkiler denetlenememektedir. DAC içindeki 
kaynakların bir sahibi (owner) vardır. Sahip ayrıca diğer kullanıcılara da izin verebilir. Bu 
model oldukça esnektir. “İsteğe bağlı yetkilendirme” olarak da adlandırılır. Ancak bu 


metodun yetkisiz erişimlere yol açma riski olabilir. DAC “identity of the user” temelinde 


çalışır. 
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» Discretionary: Hazır (hard-coded) değildir. İşletim sistemi tarafında otomatik olarak 
uygulanmaz. 
» Kontrol edilebilir. Nesnenin sahibi tarafından kontrol edilir (file, folder vb.) 


» İransfer edilebilir: Sahibi kontrolü verebilir. 


Rol Tabanlı Erişim Kontrolü (RBAC — Role Based Access Control) 
Erişimin organizasyon içindeki fonksiyonel rollere göre yapılmasıdır. Rol tabanlı modelde 
kullanıcının ya da grupların verilere erişimini iş rolleri belirler. Yeni bir kişi işe alındığında 
bu modele göre izni verilebilir. Role-Based Access Control metodu kullanıcılar yerine 
grupların yönetimi üzerine odaklanır. RBAC metodunda erişim iş gereksinimlerine ve 
sorumluluklarına göre belirlenir. RBAC metodundaki rolleri genellikle şirketin yapısına göre 
düzenlenir. 

» İş tabanlı (Job Based): Kullanıcıların görevlerine göre 

» Konfigürasyon gerekir: Roller gereksinimlere göre atanır 

» Esnek: MAC sabit kurallara sahiptir. RBAC ise kullanıcının şirketteki rolüne bağlıdır. 


» Daha hassas: “least privilege” uygulanmasını sağlar. 


En Düşük Erişim Hakkı (Principle of least privilege) 


“En düşük erişim hakkı”, veya diğer bir tabirle “Mümkün olan en az yetki” prensibince 
erişimde bulunan özneye, kendisine atanmış olan görevlerini gerçekleştirmelerine yetecek 
en düşük seviyede erişim hakkı verilmelidir. Örneğin veri tabanından raporlama amacıyla 
okuma yapan bir programa sadece gerekli tablolardan okuma yapmasına izin verilmelidir. 
Bu programın başka tablolardan okuma yapabilmesi veya yazma işlemi gerçekleştirmesi 


en düşük erişim hakkı ilkesine aykırıdır. 


Güvenliğin önde gelen iki kavramı: 

»e Güvenlik politikası 

e Sorumluluk 
Güvenlik politikası: Bir organizasyonun nasıl yönetileceğini, korunacağını ve taşıdığı 
kritik bilginin nasıl paylaştırılacağını düzenleyen bir dizi kanunlar, kurallar ve pratikler 
setidir. Güvenlik politikası belirli bir öznenin belli bir nesneye erişip erişmediğine karar 


vermek için sistemin kullandığı kurallar setidir. 
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Sorumluluk: Güvenlikle ilgili her bir olayı bir özneyle ilişkilendirmek gerekir. Sorumluluk 


her eylemin izlenebildiğini eylemi yapan kullanıcıya hissettirmeyi sağlar. 


Erişim kontrolünün modelleri 


Erişim kontrol modeli bir özne vasıtasıyla bir nesneye erişimin mantığını tanımlar. Erişim 


kontrol modelleri: Bell-La Padula, Biba ve Clark-Wilson dır. 


Bell — LaPadula modeli (BLP) 


Bu model orijinal olarak Savunma Bölümünün dört seviyeye ayrılmış bilgiye erişimiyle ilgili 


ihtiyaçlarını karşılamak için geliştirilmiştir. Bu bilgi seviyeleri: 


Çok Gizli, Gizli, Güvenilir, Hizmete özel 


Bu model doğrudan bilginin gizliliğine göre yönlendirme yapar. Güvenlik bir dizi kuralların 
yerine getirilmesiyle sağlanır. Kurallar class'lar arasındaki ilişkiye dayandırılır. Özneler ve 


nesnelerin gizlilik dereceleri etiketlerle belirlenir. 


Bu model temel olarak nesneler ( dosyalar, kayıtlar, programlar ve bilgi içeren ya da bilgi 
alan donanım gibi) ile özneler ( şahıslar, prosesler, ya da nesneler arasında bilgi akışına 
sebep olan aygıtlar gibi) arasındaki ilişkiyi tanımlar. İlişkiler özneye yüklenen erişim 
seviyesi ya da hak terimi ve nesnenin kritiklik seviyesi ile tanımlanır. Askeri terimlerde, 
bunlar öznenin güvenlik açığı nesnenin güvenlik derecesini ifade eder. 

Özneler nesnelere okuma, yazma ya da güncelleme yapmak için erişirler. Bell-LaPadula 
modelinde çapraz prensibiyle karşılaşılır, nesnenin erişim seviyesiyle aynı ya da ondan 
daha yüksek seviyeye sahip olan özneye yazma hakkı verilir, nesneyle aynı ya da ondan 


daha az yetki seviyesine sahip özneye okuma hakkı verilir. 


Güncelleme yetkisi ise sadece nesneyle aynı güvenlik seviyesinde olan özneye verilir. 
Özneler daha yüksek güvenlik seviyesindeki bilgiye erişemezler. Hiyerarşik sınıflama 
kullanılır. Verinin güvenlik seviyesini nesnenin seviyesi belirlediği için, tek bir nesne 
içindeki bütün veri aynı seviyede olmalıdır. Bu tip modele akış modeli denir, çünkü bu 
model bilginin kendisine verilen güvenlik seviyesine eşit ya da daha yüksek güvenlik 


seviyesine akmasını sağlar. 
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BIBA modeli 


BLP'ye benzer fakat gizlilikten çok doğruluğa odaklanmıştır. Bir özneye atanan doğruluk 
seviyesi bilginin oluşturulması, değiştirilmesi ya da bozulmasının oluşturacağı güveni 
yansıtır. Bir nesneye atanan doğruluk seviyesi ise bilginin içeriğinin ve değiştirilmesi 


halinde meydana gelecek potansiyel zararın oluşturacağı güveni yansıtır. 


BIBA modelinde: 
» Doğruluğu yüksek olan özneler daha düşük doğruluktaki nesneleri okuyamazlar 
(“aşağı doğru okuma yapılmaz”) 
» oÖzneler doğruluğu düşük olan veriyi yüksek doğruluk ortamına süremezler (“yukarı 


doğru yazma yapılmaz”) 


Clark-Wilson Modeli (Ticari Doğruluk) 


Model 1987 yılında David Clark ve David Wilson tarafından geliştirildi. Amaç, bilgisayar 
sistemlerindeki bilgi doğruluğu kavramını biçimlendirecek ve kasıtlı ya da kazayla 
meydana gelen veri bozulmalarını önleyecek bir model geliştirmekti. Bu modelde, 
doğruluk tutarlı olan veriye bir dizi kısıtlamalar getirilmesi olarak tanımlanır. Veri bu 
kısıtlamaları yerine getirirse geçerli veri olarak kabul edilir. İyi ve kurallara uygun olarak 
düzenlenmiş işlemler bilgisayar sistemini tutarlı bir durumdan bir diğer tutarlı duruma 
hareket ettirirler ve bilgisayar sistemindeki veri parçalarının doğruluk politikasının nasıl 
olacağını ve bilgisayar sisteminin bir durumdan diğer duruma geçişindeki kararlılığı 


korurlar. Bu modelde veri iki kategoriye ayrılır: 


1. Kısıtlı veri öğeleri (Constrained data items — CDI) 


2. Kısıtlı olmayan veri öğeleri (Unconstrained data items - UDI) 


CDI'lara sadece özel amaçlı dönüştürme prosedürleri (TP) ile ulaşılabilir. CDIların 


doğruluğu doğruluk tetkik prosedürleri ile (IVP) kontrol edilir. 
Model muntazam bir model değildir, fakat bir dizi kuralların toplamıdır: 


» OÖzneler yetkilendirilmelidir 
» IP'ler doğruluğu korumalıdır 


e Ayrı bir yükümlülük politikası mutlaka olmalıdır. 
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Clark - Wilson modeli ticari ve askeri politikalar arasındaki ayrımları yeniden düzene koyar: 


» Askeri güvenlik politikası gizliliğe odaklanmıştır 


e Ticari güvenlik politikası doğruluğa odaklanmıştır 


Bu modelin problemleri: 
» Karmaşık bilgisayar sistemleri için IVP'leri ve TP'leri uygulamak zordur 
» Bir işlemin içeride doğruluğunun olması o işlemin doğru olduğu sonucunu çıkarmaz 


(fakat denetlenebilir) 


z/OS sistem güvenliğinde RACF ürünü çok katlı güvenlikte erişim kontrol modellerinden 
Bell — LaPadula modeli (BLP) ile Biba modelini kullanmaktadır. 


Erişim Kontrol Matriksi 


Örneğin, aşağıdaki matriks” te satır ve kolonların kesişimlerindeki harfler öznenin nesneye 
hangi tip erişimi yapacağını gösterir. Erişim kontrolünün asıl hedefi en az ayrıcalık 


olduğundan matriks" in pek çok hücresi boştur, bu, erişime izin yok demektir. Hücrelerin 


KULLANICI 1 KULLANICI 2 GRUPA 


çoğu boş olduğu zaman, matriks' e seyrek matriks denir. 
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1.9 Sınıflandırma 


Nesnelerin Sınıflanması 


Kurum için değer ifade eden ve bu sebeple korunması gereken unsurların tamamı nesne 
kategorisine girmektedir. Bilgi güvenliği kapsamında en temel varlık bilgidir. Bilgi pek çok 
farklı yerde farklı biçimlerde bulunabilir. Etkin bir erişim kontrol politikasının 
hazırlanabilmesi için kurum varlıklarının listelenmesi ve sınıflandırılması 

gerekli önkoşuldur. Varlık envanteri erişim kontrolünün uygulanacağı nesnelerin ayrıntılı 
dökümünü ve bunların değerlerini verir. Bu sayede hangi varlığın ne seviyede bir 


korumaya gerek duyduğu bilinmiş olur. 


Varlık envanterinde bulunabilecek bilgi varlıkları; 

ig Veritabanları, veri dosyaları, arşivlenmiş bilgiler, sistem belgeleri, süreklilik planları 

ii Uygulama yazılımları, sistem yazılımları, geliştirme araçları 

e Bilgisayar bileşenleri, donanımlar, aktif cihazlar, optik ve manyetik ortamlar 
olabilir. 

Erişim kontrol politikası hazırlanması sürecinde ayrıca risk analizi sonuçlarından da 

faydalanmak, hazırlanacak politikanın (etkinliğini önemli ölçüde etkiler. | Varlık 

envanterioluşturma süreci sonrasında, kurum içinde uygulanacak bir risk analizi, hangi 

varlıklarınöncelikli olarak ve daha sıkı bir şekilde korunması gerektiğini ortaya koyar. Bu 

sebeple risk analizi sonuçlarından yola çıkarak uygun kontrollere, erişim kontrol 

politikasında yer verilmelidir. 


Öznelerin Sınıflanması 

Kurumun bilgisine pek çok farklı sınıfta özne erişebilir. Özneler bilgiye erişimde bulunan 
aktif unsurlardır. Bunlar: 

bi Kullanıcılar, 

ia Programlar, 

Ür Program süreçleri, 

isi 


Kurum dışı kullanıcılar 


Özneler farklı erişim seviyelerine sahip gruplar veya roller kullanılarak sınıflandırılabilir. 
Tanımlanan rollere erişim hakları verilerek nesnelere erişim daha rahat ve etkin bir şekilde 


denetim altında tutulabilir. Bu roller kurum içinde üstlenilen görev ve sorumluluklara göre 
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oluşturulabileceği gibi erişilen bilgi varlığının sınıfına göre de olabilir.Erişimde bulunan 
öznelerin sahip olabileceği roller; 

»e Yöneticiler 

» Departman yöneticileri 

» Sistem yöneticileri 

» Kullanıcılar 

» XYZ projesi çalışanları 


»e Kurumdışı kullanıcılar olabilir. 
ZIOS güvenlik sisteminde özneler ve nesneler 


z/OS sisteminde bir özne sistem kaynaklarına erişim için gerekli bir varlıktır. 
Özne için örnekler: 


İnsan kullanıcılar 

» Başlatma prosedürleri 
»e Topluişler 

» ZİOSUNIX daemon'ları 


Kullanıcı terimi genellikle özne terimiyle aynı anlama gelse de bazen bir insan öznesini ima 
eder. z/OS sisteminde bir nesne ise erişimi kontrol edilmesi gerekli olan bir sistem 
kaynağıdır. 
Nesne örnekleri: 
# Dataset'ler 
& z/OS UNIX dosyaları ve dizinleri 
Komutlar 
Terminaller 
Yazıcılar 
DASD volume'leri 
Teypler 


SE Sİ Sİ 


RACF'te özneler ve nesneler birbirinden ayrı olarak listelenebilir ya da, yönetim etkinliğini 
artırmak için, gruplar halinde düzenlenir. Nesne ve özneler güvenlik konusunun gizlilik 


modellerinde çok önemli rol oynarlar. 
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1.10 Adreslenecek Erişim Türleri 


Bilgiye veya bilgi kaynaklarına erişim farklı yollardan olabilir. Bilgiye fiziksel yollarlar. 

Doğrudan ulaşmak mümkün olduğu gibi bir bilgi ağı üzerinden de erişilebilir. Oluşturulan 
erişim kontrol politikası bu erişim türlerini kapsamalıdır. Ayrıca kurum dışından olan 
kullanıcıların ihtiyaç halinde kurumun bilgi kaynaklarını kullanması da erişim kontrol 


politikası ile denetime tabi tutulmalıdır. 
Fiziksel Erişim 


Bilgi varlıklarının bulunduğu fiziksel ortamlara erişim, Erişim Kontrol Politikasında ele 
alınmalıdır. Fiziksel erişim kontrolü kapsamında politikada yer verilecek bazı örnek 
kontroller şunlar olabilir: 


» Kritik varlıkların bulunduğu fiziksel ortamlara (örneğin sistem odası) girişlerin güçlü 
kimlik doğrulama ve kimlik tanımlama metotları ile kontrol edilmesi 

» Bilgi sistem aygıtları ve bilgi içeren her türlü donanımlara fiziksel erişimin 
kullanıcısıbaşında bulunmadığı zaman zarfında kontrol altına alınması 

» Sistem odasına girmeye yetkili olmayan ama bakım/onarım, danışmanlık vb. gibi 
amaçlarla sistem odasında çalışması gereken kişilerin kontrol altında çalışması 


Ağ Erişimi 


Günümüzde bilgiye erişimlerin büyük kısmı bilgisayar ağları üzerinden gerçekleşmektedir. 
Kullanıcılar, istemciler vasıtasıyla ağ Üzerinden sunucular üzerindeki bilgilere erişerek 
işlerini yerine getirmektedirler. Bu erişimler yerel ağlar üzerinden olabildiği gibi internet 


benzeri geniş ağlar üzerinden de olabilmektedir. 


Ağ erişim kontrolünde temel amaç, ağ üzerinden ulaşılabilecek bilgilere yetkisiz erişimleri 
engellemektir. Yetkisiz erişimlerin önüne geçmek için uygun kimlik doğrulama 
mekanizmalarının uygulanmış olması gerekmektedir. Ağ erişimi kontrolü kapsamında, 


politikada ele alınacak bazı örnek kontroller şunlar olabilir: 
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Kullanıcıların kurum tarafından sağlanan İnternet çıkışı dışında başka yollar 

(modem, kablosuz ağ, GSM bağlantıları vb.) üzerinden İnternet'e erişimlerinin 

kontrol edilmesi 

Kullanıcıların İnternet üzerindeki erişebileceği servislerin tanımlanması (http, https 

ve smtp gibi) ve söz konusu servisler dışındaki başka servislere erişim taleplerinin 
yetkili birimlerce denetlenmesi ve onaylanması 

Kurum dışından kurumun bilgi ağı servislerine yapılacak bağlantıların yetkisiz 

erişimlere izin vermeyecek şekilde denetlenmesi ve kontrol altına alınması 

Kurum içinde gizlilik seviyelerine uygun bilgi ağlarının kurulması ve kritik bilgi içeren 

ağların uygun kontrollerle (kimlik doğrulama, yetkilendirme, sınır koruma vb.) 

korunması 

Yönlendirici ve anahtar gibi aktif cihazlar üzerinde yetkisiz erişimi engelleyecek 


yönlendirme kurallarının tanımlanması. 


Üçüncü Taraf Erişimleri 


Günümüz iş dünyasında kurumlar ihtiyaç gereği sıklıkla dışarıdan farklı alanlarda 
hizmet alımına gitmektedirler. Bu durum kurum dışı üçüncü taraf kişilerin kurum 
içinde çalışması veya kurum bilgisine erişmesi ihtiyacını doğurmaktadır. Kurum 
bilgisini koruma amacıyla kurum dışı kullanıcılara daha farklı bir erişim kontrolü 
uygulanmalıdır. “Bilmesi gereken” ilkesi gereğince üçüncü taraf erişimleri bu 
kullanıcıların sadece görevlerini yerine getirmeye yetecek kadar olmalıdır. Ayrıca 
üçüncü taraf erişimleri mutlaka denetlenmeli, herhangi bir yetkisiz erişim girişimi 


olup olmadığı sürekli kontrol edilmelidir. 


Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleri ve 
sorumlulukları kuruluşun bilgi güvenliği politikasına uygun olarak tanımlanmalı ve 


dokümante edilmelidir. 


Tüm işe alınacak adaylar, yükleniciler ve üçüncü taraf kullanıcıları ilgili yasa, 
düzenleme ve etik ilkelere göre çalışmaları için uygun doğrulama kontrolleri 


gerçekleştirilmelidir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 64/525 


Varlık Yönetimi 


» Kuruluşun bilgi güvenliği politikası, belirli aralıklarla veya önemli değişiklikler 
ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için 


gözden geçirilmelidir. 


»e Kurumun varlıklarının tümü açıkça tanımlanmalı ve önemli varlıkların bir 


envanteri hazırlanmalı ve tutulmalıdır. 


» Bilgi işleme olanakları ile ilişkili tüm bilgi ve varlıklar atanan bir bölüm tarafından 


sahiplenilmelidir. 


» Bilgi, değeri, yasal gereksinimleri, hassaslığı ve kuruluş için kritikliğine göre 


sınıflandırılmalıdır. 


1.11 İşletim sisteminin temel güvenlik hizmetleri 
»e Güvenirlik 
o Program özellik tablosu (PPT) 
o Program yetkilendirme hizmeti (APF) 
» Yetkilendirilmiş programlar 
o Sistem yetkilendirme hizmeti (SAF) 
e Denetleme 
o Loglar (hardcopy, sistem) 
o Genel izleme hizmeti (GTF) 


o Sistem yönetimi hizmeti (SMF) 


z/ OS işletim sistemi yetkisiz erişimlere karşı kendini koruyacak şekilde tasarlanmış ve 
kurulmuştur, bu nedenle sistem için tanımlanan güvenlik kontrollerinden taviz verilemez. 
Bunun anlamı herhangi bir yetkisiz programı, tanımlı ya da tanımsız herhangi bir sistem 
arayüzü kullanarak çalıştırma olanağı yoktur. 2//0S'un temel güvenlik hizmetleri iki temel 


işlev yerine getirilerek sağlanır: Güvenirlik ve Denetim. 
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Güvenirlik — Integrity 


Sistem güvenirliği, sistemin yetkisiz kullanıcı erişimine karşı güvenlik kontrollerinden taviz 
vermeyecek derecede kendini koruma yeteneği olarak tanımlanır. Yetkisiz bir programı 
bellek ya da fetch korumasından, şifre kontrolünden, RACF sorgulamasından veya bir 
yetkilendirme durumundan (authorized state) herhangi bir sistem arayüzü kullanarak bile 


atlatmanın yolu yoktur. 


Bir programın yetkisi kullanılabilecek subpool'ların neler olduğunu belirler. GETMAIN, 
FREEMAIN, STORAGE ve CPOOL makroları için, program eğer aşağıdaki yetki 
tiplerinden birisine sahipse yetkilidir: 


» Supervisor state'de çalışıyorsa 

» 0-7 PSW anahtarına sahipse 

»e APF yetkiliyse 
Aksi takdirde, program yetkisizdir. Yetkisiz programlar sadece belleğin 0-127, 131 ve 132 
özel bellek subpool'larından istekte bulunabilirler. Bir programın yetkili olması, o programa 
ortak bellek subpool'larındaki kadar iyi, ilave özel bellek subpool'llarından bellek elde 


edebilmesi imkânı sağlar. 


Eğer bir program supervisor state' de ve PSW key 0 da çalışıyorsa, sistem subpool O 
bellek isteğini subpool 252 bellek isteğine çevirir. Diğer bütün durumlarda, sistem bellek 


isteklerini subpool 0 bellek isteği gibi ele alır. 


zl OS işletim sisteminde güvenlik için doğruluğun sağlanması 

Program Property Table (PPT) 

Program özellik tablosu özel nitelikler gerektiren programların listesini tutar. Programların 
güvenlik korumasını atlatıp (bypass security protection) atlatmayacağını (RACF ve parola 


korumalı olacağını) ve bir sistem anahtarı ile çalıştırılıp, çalıştırılmayacağını bu tabloda 


belirtir. 


NOPASS parametreli programlar parolalı korunmuş dataset'lerin parola korumalarını 


atlatabilen programlardır ve böylece RACF-korumalı kaynaklara karşı bile bütün 
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RACF koruması atlanmış olur. 


Sistem anahtar parametresi programın sistemdeki bir anahtar ( anahtarlar 0- 7) ile 
çalıştırılmaya yetkili olup olmadığını belirtir ve bu özellik sistem güvenlik kontrollerinin 


atlatılmasını olanaklı kılar. 
Authorized program facility (APF) 


APF, sistem ve kullanıcı programlarına, kritik sistem fonksiyonlarını kullanma izni veren bir 


özelliktir. Bir programın yetkilendirilmesi için aşağıdakiler gereklidir: 


» Program load modülü, bir binder ile yetkili olarak işaretlenmeli ya da eğer program 
UNIX sistem servisindeki (USS) bir dosya sistemindeyse APF belirtecine sahip 


olmalıdır. 


» Eğer bir load modül kitaplığından yükleniyorsa yükleme modülü yetkilidir - authorized 
olarak işaretlenmiş olmalıdır. 


» Program bir yükleme modülünden getirilecekse bu modül JOBLIB veya STEPLIB 


bağının bir parçası olabilen hiç yetkisiz bir kütüphane olmamalıdır. 


APF Kütüphaneleri 


»e Yetkili kütüphaneler SYS1.PARMLIB'de APF listesinde tanımlanır 


e SYST.LINKLIB, SYS1.SVCLIB ve SYS1.LPECEB kütüphaneleri otomatik olarak 


yetkili kütüphaneler sınıfındadırlar. 


» Sistem kurulumu için kullanılan kütüphaneler PROGxx de tanımlanır. 


»e LINKLIST'deki bütün kütüphaneler varsayılan olarak yetkilidirler ancak pek çok 
kurulumlarda LNKAUTH-APFTAB ifadesi, denetleyicileri yönlendirmek için 
kullanılır. 


Authorized programlar 


Sistem fonksiyonlarının çoğu kritiktir. Bu nedenle bu kritik fonksiyonlar sadece yetkili 
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programlara kullandırılırlar. Eğer aşağıdaki şartlardan biri bir program için doğruysa o 
program yetkili programdır: 


Yetkili Kütüphaneler 


. SYSI.LINKLIB 
. SYSI.LPALIB 
. SYSI.SVCLIB 


»e program supervisor state*'de çalışıyorsa (PSW — 0 daki 15. bit) 

* supervisor state işletim sisteminde bir uygulama programına elverişli olmayan komutları çalıştıran 
bir donanım modülüdür; örneğin /O komutları bir supervisor state dir. 

program sistem protection key'de çalışıyorsa (0-7 key'i içeren PSW deki 8-11 
bit'ler). Örneğin CICS sadece korumalı key 8 de çalışabilir. CICS için başka hiç bir 
korumalı key tanımlanamaz. 

Program yetkili iş adımının bir parçası olarak (JSCBAUTH — 1) çalışıyorsa. 


Problem Programlar 


problem state (supervisor state'in tam tersi) de çalışan normal programlar 


problem programlar olarak bilinir 


e problemkey—8deçalışırlar 


» APF kütüphanesinde bulunur ya da bulunmazlar 


Sistem 
Supervisor 
Key0-7 State 
Key 8 Application Problem 
State 


Kullanıcı 
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Denetleme — (Auditing) 


z/OS, denetleme için yararlı bilgi sağlayan temel fonksiyonlara sahiptir. Bu fonksiyonlar: 
&s Loglar (hardcopy, system) 
& Generalized trace facility (GTF) 
# System management facility (SMF) 


Veri değişimini izlemek için log kayıtlarından yararlanılır. Ayrıca bir diğer değişim izleme 
mekanizması da denetim (audit) kayıtlarıdır. Denetim kayıtları (auditing) bir güvenlik 
sistemi üzerinde yapılan işlemleri izleme ve kaydetme sistemidir. Daha önce açıklanan 
McCumber Bilgi Güvenliği Modeli” ne göre bilginin üç temel unsurundan biri olan bütünlük 
verinin yetkisiz kişilerce değiştirilip değiştirilmediğinin tespiti ve yetkisiz kişilerce 


değiştirilmesinin önlenmesidir. 


Güvenlik sistemi üzerinde yapılan mimari değişiklikler, tanımlanan veya silinen görevler, 
tanımlanan, silinen veya yetkilendirilen kullanıcılar, denetim kayıtlarıyla saklanmalıdır. Bu 
sayede sistemde yapılan tüm değişiklikler kayıt altına alınmış olur. Bu nedenle denetim 
kayıtları saklama stratejileri incelenmeli ve en uygun seçim yapılmalıdır. Örneğin z/OS 
güvenlik sistemlerinden birisi olan RACF'te kayıtların saklanması ve incelenmesi aşağıdaki 
tekniğe göre yapılır. Hangi class'ta kayıtların nasıl saklanacağı ile ilgili aşağıdaki gibi bir 
dizi seçenekler sunulur. Denetleme için log kayıtlarının nasıl tutulacağının formatı 


aşağıdadır: 


LOGOPTIONS| /evel( class... )... ) 


Bu format, belirli bir sınıf için uygulanan erişim denetimi düzeyini belirtir 


Denetleme seviyeleri şunlardır: 


* ALWAYS bütün erişimleri loga kayıt et 

* NEVER hiçbir erişimi loga kayıt etme 

* SUCCESSES bütün başarılı erişimleri loga kayıt et 

* FAİLURES * bütün güvenlik ihlallerini loga kayıt et 

* DEFAULT loga kayıt işlemini profilde ve ayarlarda verilene göre yap. 
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z/ OS çok karmaşık olduğundan, bir denetimi analiz etmek için parametre, kural ve kayıt 
sayısı hızla kontrolden çıkabilir. En az denetimden daha fazlası, 'bacak çalışması' - 
Bilgisayar Destekli Denetim Araçlarının (CAAT) çoğu için ticari yazılım kullanımına ihtiyaç 
duyacaktır. Bu araçlar 2/OS üzerinde çalışır ve genellikle parametre kitaplıkları, anahtar 
sistem dosyaları ve 7/OS program kitaplıkları güvenlik veritabanlarının geçmiş kayıtlarını 


(SMF kayıtları dahil) içeren sistem kurulumunu analiz eder 


Bundan sonra yazılım, potansiyel güvenlik risklerini belirleyebilir ve hatta nasıl ortadan 
kaldırılacağını önerir. CAAT'lerin büyük bir avantajı, bir çalışma programı oluşturma 


yükünü hafifletebilmeleridir. 2/OS için geliştirilmiş bazı yaygın CAAM'ler: 


Janus ICU. z/OS analysis tool. 

IBM Tivoli zSecure Audit Another 2/OS analysis tool. 

CA-Auditor for 2/OS (previously CA-Examine Audit). Another choice to audit 7/OS. 
Beta 88 zSecurity Auditor. More z/OS audit options. 

Vanguard Analyzer. Vanguard's RACF analysis tool 

IBM DB2 Audit Management Expert for 27/0S. DB2 analysis tool. 

IBM IMS Audit Management Expert for /OS. IMS analysis tool. 


Bu CAAT'ler ayrıntılı bir denetim yaparken çok değerlidir, ancak her şeyi kontrol 
edemezler. Örneğin, güçlü sistem yardımcı programları ve operatör komutları gibi özellikler 


sağlayan ISV ürünlerinin güvenliğini kontrol edemezler. 


CAAT'ler teknik uzmanlığın yerini tutmaz. Bu yazılımı kurmak, hangi raporların gerekli 
olduğunu belirlemek, bu raporları analiz etmek ve rapor bulgularının ardındaki nedenleri 
aramak için hala bir /OS uzmanı gereklidir. Bu yazılımdan oluşturulan raporlara körü 


körüne güvenme isteğine karşı konulması gerektiği unutulmamalıdır. 


Bir denetim büyük bir proje olmasına rağmen, gerçekleştirilmesi imkansız değildir ve daha 
sık yapıldığında daha kolay hale gelecektir. Tüm denetimi gerçekleştirmek için harici bir 
şirket kiralamak geçerli bir seçenektir, ancak sıkı bir bütçeye sahip denetçiler, harici bir 
z/ OS teknik uzmanı ve denetim yazılımı kullanarak denetimi şirket içinde gerçekleştirmeyi 


düşünmek isteyecektir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 70/525 


z/OS Connect EE güvenliği 

z/ OS Connect EE güvenliği geleneksel z / OS güvenliği ile, örneğin Sistem Yetkilendirme 
Programı (SAF) ve ayrıca Aktarım Katmanı Güvenliği (TLS), JSON Web Token (JWT) ve 
OpeniID Connect gibi açık standartlarla çalışabilir. 


Gizlilik, 
Gizlilik, yetkisiz bir tarafın aktarılan veya depolanan verilerin anlamını çözememesini 


sağlar. Genellikle gizlilik, verilerin şifrelenmesiyle elde edilir. 


Gizlilik, giriş yetkisi olmayan kullanıcıların, izinsiz girişlerin engellenmesi olarak 
tanımlanabilir. Gizlilik, veri ağınızda bulunan bilgiler (disk, tape vb.) ve ağ üzerinde 
gönderici ve alıcı arasında bilgi alışverişini kapsamaktadır. Saldırganlar talep ettikleri 
takdirde, parola dosyalarının çalınması, sosyal mühendislik ya da kullanıcının şifreyi 
girerken gözetlenmesi gibi birçok yolla, gizliliği ihlal ederek bilgisayardaki verileri ele 
geçirebilmektedir. 


Adalet Bakanlığınca hazırlanan Bilgi Güvenliği ve Kullanıcı Sorumluluğu ile ilgili raporda 


ise gizliliği kısaca bilginin yetkisiz kişilerin eline geçmemesi olarak tanımlanmaktadır. 


Uluslararası Standartlar Örgütü (ISO) tarafından “Bilginin sadece yetkilendirilmiş kişilerce 


erişilebilmesi “ olarak tanımlanır ve Gizliliğin değer tanımı beş aşamada belirtilmektedir: 


i. Varlık erişimi olan herkes tarafından ulaşılabilir 

ii. Varlık işletmedeki herkes tarafından görülebilir, kullanılabilir 

ili. Varlık sadece departmanlardaki kullanıcılar tarafından görülebilir 
iv. Varlık doğrudan erişimi olan kişiler ve üstleri tarafından kullanabilir 


v. Varlık yetkili amir tarafından görülebilir 


Gizliliğin Sınıflandırılması 

Elektronik gizleme, son kullanıcıların bilgi, veri ya da kaynaklara ulaşamamaları demektir. 
Örnek verecek olursak, birileri başkasının maillerine kişinin onayı olmadan ulaşabilirse, 
gizlilik ihlal edilmiş sayılmaktadır. 
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Fiziksel gizlilik ihlalleri ise gizli ibaresi olan bilgisayarların okunması ya da gizli bilgilerin 


sözlü söylenmesi durumunda bilmemesi gereken kişilerin duymasını kapsamaktadır. 


Whitman ve Mattord (2014) ise makalesinde, bilginin gizliliğinin korunabilmesini aşağıda 


belirtilen önlemlerle sağlanabileceğini açıklamaktadır: 


». Bilgi sınıflandırması 
». Güvenli belge deposu 
» Genel güvenlik politikalarının uygulanması 


» Bilgi saklama görevlileri ve son kullanıcıların eğitimi 


Doğruluk 
Doğruluk, iletilen veya depolanan bilgilerin kasıtlı veya yanlışlıkla değiştirilmemesini sağlar. 
Genellikle, bir ağ üzerinden alınanın gönderilen ile aynı olduğunu doğrulayan bir 


mekanizmadır. 


Kimlik Doğrulama, 

Kaynağa erişen varlık tarafından talep edilen kimliği doğrulama işlemidir. Kimlik 
doğrulama, talep edilen kimlikle sağlanan kimlik doğrulama bilgilerinin doğrulanmasıyla 
gerçekleştirilir. Kimlik doğrulama bilgileri genellikle erişimcinin kimlik bilgileri olarak 
adlandırılır. Bir kimlik bilgisi erişimcinin adı ve şifresi olabilir. JSON Web Token (JWT) veya 
X.509 sertifikası gibi güvenilir bir tarafça sağlanan bir token da olabilir. Kimlik doğrulama 
genellikle bir istek iş akışındaki en erken adımlardan biridir. Kimlik doğrulaması 
yapıldığında, akış aşağı işlem adımlarına bir kimlik bildirilebilir, yani bu adımlar kimliğin 


yukarı akış adımları tarafından başarıyla doğrulandığına güvenir. 


Tanımlama, 
Sisteme erişmeye çalışan varlığa bir kimlik atama yeteneğidir. Kimlik genellikle kaynaklara 
erişimi kontrol etmek için kullanılır. Tanımlamanın gerçekleştirildiği güvenlik modeline bağlı 


olarak, kimlik doğrulama kimlik bilgilerinden gelebilir veya başka bir sunucudan alınabilir. 
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Yetkilendirme 


Kimliği doğrulanmış bir kimliğin istediği kaynağa erişime izin verilip verilmediğini kontrol 
etme işlemidir. Yetkilendirmenin tipik bir uygulaması, kimlik denetimi kimliğini içeren bir 


güvenlik bağlamına erişim kontrol mekanizmasına geçmektir. 


Denetleme 
Denetleme, bir API isteği gibi olayları yakalama ve kaydetme olanağı sunar, böylece daha 


sonra, belki de güvenliğiniz ihlal edilmişse, bunları analiz edebilirsiniz. 


Aşağıdaki şema, z / OS Connect EE'de bulunan üst düzey güvenlik seçeneklerini 


göstermektedir. 


Gizlilik / Doğruluk Kimlik doğrulama yetkilendirme Denetleme (isteğe göre) 
TLS seçenekleri 
IJSSE 
Client Authentication 
AT-TLS 
Third Party Authentication 
User Registrles 


Not Yetkilendirme ile kontrol edilebilecek eylemler şunlardır: API'lerin, hizmetlerin ve API 
istemcilerinin dağıtılması, sorgulanması, güncellenmesi, başlatılması, durdurulması ve 


silinmesi. 


API sağlayıcı güvenliği 


API (Application Programming Interface), bir uygulamaya ait işlevlerin başka bir 
uygulamada da kullanılabilmesi için oluşturulmuş bir arayüzdür. Yani basitçe, A 
uygulamasının özelliklerini B uygulamasında da kullanabilmemizi sağlayan yapıya API 


diyoruz. 
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API ingilizce açılımı ile Application Programming Interface, Türkçeye çevrildiğinde 
Uygulama Programlama Arayüzü olarak tanımlanan kelimenin Türkçe kısaltılması ise 
UPA'dır. Kısaca APr'leri yazılımların birbirleriyle konuşmasına izin veren arayüzler olarak 


açıklayabiliriz. 


API'ler genellikle web geliştiricileri ve program geliştiricileri tarafından kullanılmaktadır. Bir 
programın farklı bir servisin özelliğinden de faydalanması gerektiği zamanlarda API 
kullanarak bu fonksiyonların tam olarak yerine getirilmesi gereklidir. Çoğu zaman 
kullandığınız WM Aracı'nın webmasterlar için hazırlamış olduğu araçların dahi birçoğu API 


kullanarak hazırlanmıştır. 


WhatsApp gibi bir uygulamayı her kullandığınızda, her anlık mesaj gönderdiğinizde veya 
telefonunuzda hava durumunu her kontrol ettiğinizde bir API kullanıyorsunuz. Bunu daha 


iyi açıklamak için günlük hayattan bir kaç benzetme yapalım: 


Bir restoranda bulunduğunuzu düşünün. Restoranda mutfak, siparişinizi hazırlayacak 
sistem'in bir parçasıdır. Garson - veya API - siparişinizi alan ve mutfağa - sisteme - ne 
yapacağını söyleyen aracıdır. Garson sizden siparişi alır, mutfağa iletir. Mutfak siparişinizi 


hazırlar ve garson veya API siparişinizi size getirir. 


Bir başka örnek ise; uçak rezervasyonu ile ilgilidir. Uçak rezervasyonunu hava yolu 
şirketinin websitesi yerine hava yolu veritabanından bilgi toplayan Skyscanner ya da 
Expedia gibi online bir seyahat şirketinden yaptığınızı düşünelim; seyahat servisi, 
havayolunun API'siyle etkileşime girer. API havayolu şirketinin veritabanından koltuk 
rezervasyonu, bagaj seçenekleri ve daha fazlasıyla ilgili bilgi edinmek için online seyahat 
hizmetinin soru sorabileceği bir arabirimdir. API bu havayolunun isteğinize verdiği yanıtı 
alır ve online seyahat hizmetine geri gönderir; ardından bu site de size en güncel ve ilgili 


bilgileri gösterir. 


Örneğin, bir mobil uygulama, interaktif harita ihtiyacını bir dış kaynaktan edinmek 
durumundadır. Bu işlevselliği “Google Haritalar” ile uygulama içine dahil edebilir. Bunu 
yapabilmek için, mobil uygulamada yeni bir etkileşimli harita eklenir ve çalışma zamanında 
her görüntülendiğinde, internet üzerinden bu amaçla Google tarafından sunulan özel bir 


API'ya bir istek göndererek harita görüntülemeyi yapar. 
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Örneğin bir e-ticaret uygulama yazılımı ödeme süreçlerini, bir bankanın konu ile ilgili 
APl'lerine devredebilir. Bu sayede ödeme güvenliği, şekli gibi unsurlarına odaklanmak 
yerine ürün vitrinini daha iyi hale getirmek için uğraşabilir. Ödeme süreçlerinde kendi özel 
kodunu kullanmak ile dış kaynak kodlarını kullanmak kıyaslandığında AP! kullanımı 


finansal açıdan daha uygun hatta alternatifsiz olur. 


Aşağıdaki şema, z/ OS Connect EE bir API sağlayıcısı olarak hareket ettiğinde güvenlik 


ilkelerinin uçtan uca akışta nerede uygulandığını göstermektedir. 


doğrulama 
v ? ” 


OS Co t EE 
e o 3) o (5) o elk o 


TS E 
Distributed ID Mapped 1D zi 


İstemci 


Akış, z/ OS Connect EE. tarafından gerçekleştirilebilecek aşağıdaki güvenlik adımlarını 


içerir. 


1. Kimlik bilgileri istemci tarafından sağlanır.Bunlar bir kullanıcı kimliği ve parola, 
üçüncü taraf belirteci veya TLS sertifikası olabilir. 


2. Kimlik de dahil olmak üzere kimlik bilgileri, istemci ve /O0S Connect EE sunucusu 
arasındaki bağlantıya aktarılır. Kimlik genellikle, uzak bir sistemden kaynaklanan X.500 
ayırt edici adı ve ilişkili LDAP alanı gibi dağıtılmış bir kimliktir. Alternatif olarak, kimlik bir 


SAF kullanıcı kimliği olabilir. Bağlantıda gönderilen veriler TLS kullanılarak şifrelenebilir. 


di İstemcinin kimliği doğrulandı. Bu, z / OS Connect EE sunucusu içinde veya bir 


üçüncü taraf sunucusundan doğrulama talep edilerek yapılır. 
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4. Kimliği doğrulanan kimlik, z / OS Connect EE kullanıcı kayıt defterindeki bir kullanıcı 


kimliğiyle eşlenir. 


5. Kimliği doğrulanmış kullanıcı kimliği, z / OS Connect EE'ye bağlanma ve z / OS 
Connect EE API'leri veya hizmetleri üzerinde belirli eylemleri gerçekleştirme 


yetkisine sahiptir. 
6. API veya hizmet isteği denetlenir. 


7. Kayıt Sistemine (System of Record - SoR) güvenli bir bağlantı kullanarak, kimliğin 


SoR'daki programı veya işlemi başlatmak için kullanıldığı öne sürülür. 


8. Program veya işlem, belirtilen kimlik kullanılarak SoR'da çalışır. 


SAF - System Authorization Facility 


Kullanıcı 


Talebi 


(DB2 DFHSM 
CICS JES...) 


Bellekteki 


, Profille 
Talebin RACE 
“ Veritabanı 


(Mow 
Cevabı 


Sistem Yetkilendirme Hizmeti (SAF) işletim sisteminin bir parçasıdır. SAF, RACF'in bir 
parçası değildir. SAF'ın amacı güvenlik hizmeti talep eden ürünle 2/OS sisteminde kurulu 
dış güvenlik yöneticisi (bu RACF, ACF2 veya TopSecret olabilir) arasında arayüz 
sağlamaktır. SAF, SAF yönlendiricisi (router) adı verilen bir sistem hizmetini kullanarak 
sistem güvenlik süreci üzerinde merkezi kontrole sahip bir kurulum sağlar. SAF 
yönlendiricisi kaynak kontrolü sağlayan tüm ürünler için bir odak noktası ve ortak bir sistem 


arayüzüdür. 
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SAF, RACF aktif değilken güvenlik fonksiyonlarını yerine getirir. Kaynak yöneticileri bir 
kullanıcı ya da grubun sisteme ya da kaynağa erişmesine izin verilip verilemeyeceğinden 
sorumludurlar. Kullanıcının talebine bağlı olarak, kaynak yöneticisi isteği SAF'a iletir. 
Talebin içeriğine bağlı olarak SAF isteği ya doğrudan yerine getirir ya da RACF'e iletir. Her 


iki a da kullanıcı talebin cevabını kaynak yöneticisinden alır. 


1.12 z/OS güvenliğinin Mekaniği 


» Kullanıcı ID, uygulama ya da sistem bileşeninden kaynak yöneticisine geçirilir. 

» Kaynak yöneticisi kullanıcının erişmek istediği veriyi muhafaza eder. 

» Kaynak yöneticisi kendi güvenliğini sağlayabilir, fakat bir yetki denetimi 
gerçekleştirmek için SAF'ı çağırmak daha mantıklıdır. 

e SAF, kullanıcı ID'yi, kaynak talebini ve erişim tipini dış güvenlik yöneticisine geçirir 
(Dış güvenlik yöneticisi, işletim sisteminden bağımsız olarak sağlanan RACF, ACF2 


veya TopSecret gibi bir paralı üründür). 


z/ OS 


.. lü : 
Kullanıcı ID Erişim Kontrolü 
m e — SAF 


Dış Güvenlik 
Yöneticisi 


z/O0Ss 


Kaynak 
Yöneticisi 
Uygulama 
yada z7/OS 
bileşeni 


SMF 
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Dış güvenlik yöneticisi (ESM), bir karar vermek için kendi veri tabanına başvurur. 
İlaveten, güvenlik yöneticisi SMF tarafından oluşturulacak event log kayıdını talep 


edebilir. 


Bilgi, dış güvenlik yöneticisi tarafından SAF'a ve en sonunda kaynak yöneticisine 
geçirilir. Kaynak yöneticisi şimdi sahip olduğu güvenlik bilgisine dayanarak erişime izin 


vereceğine ya da ret edeceğine dair karar verir. 
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1.13 z7/0S UNIX Güvenlik Hizmeti 


z/OS UNIX hizmeti, yetkilerin kötü kullanılması ve güvenliğin engellemesine karşı yetkileri 
engelleme, sınırlama özelliklerini kullanarak 7/0OS sistem güvenliğine önemli ilave 


kontroller sağlamaktadır. Standart UNIX güvenliğinin özünde aşağıdaki özellikler vardır: 


» Dosya /dizin sahipliği 
» Dosyaizinleri 


se UlDO 


z/OS UNIX'in standart UNIX'ten farklılaştığı noktalar: 


» UNIX'leilgili FACILITY & SURROGAT class profilleri (BPX.*) 
»e UNIXPRIV Class'ları 

» Erişim Kontrol Listeleri 

e Güvenlik Denetlemesi 

» Dosya sistemine Erişimi Engelleme / İzleme 

e UlD'lerin / GİD'lerin Otomatik Atanması 

» MLS / Güvenlik etiketleri 


z/OS UNIX: kullanıcılar ve gruplar 


Tüm kullanıcıların ve programların z//0S UNIX'e erişmesi için RACF'te OMVS segmenti ile 
tanımlanmış 9 alanlık bir RACF kullanıcı profillerinin olması gereklidir, OMVS segmentinin 


içeriği ve örnek bir OMVS segmenti aşağıda verilmiştir: 


OMVS INFORMATION 
UID- 0000000000 


PROGRAM- /usr/bin 
CPUTIMEMAXZ- NONE 
ASSIZEMAX— 2147483647 


FILEPROCMAXZ- NONE 


PROCUSERMAX- 00001024 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 79/525 


THREADSMAX- NONE 


(APAREAMAX- NONE 


MEMLIMIT- 2G 


UID - O ile 2147483647 


HOME — kullanıcı shell'e gittiği zaman o anda bulunulan dosya sistemindeki dizindir . Ev 
dizini. Her normal kullanıcı hesabının kendine ait ve yazma izninin olduğu bir alt 


klasörünün olduğu dizin. 


PROGRAM — kullanıcı logon olduğu zaman başlayacak olan programın adı 
ASSIZEMAX — Maksimum address space size (RLIMIT AS) 
HILEPROCMAX — birim işlemdeki dosyaların maksimum sayısı 
PROCUSERMAX — UID başına işlemlerin maksimum sayısı 
THREADSMAX — işlem başına düşen thread'lerin maksimum sayısı 
MMAPAREAMAX — Maksimum memory map size 


Geleneksel & z/0OS UNIX: dosya izinleri 


zOS UNIX, bir POSIX, (Portable Operating System Interface for Unix - UNIX için 
Taşınabilir İşletim Sistemi Arabirimi) (olarak geleneksel UNIX kuruluşlarındaki geçerli 
dosya izin desteklerinin tümünü sağlarlar. z/OS Unix'te de her dosyanın bir sahibi, bir de 
grubu vardır. Dosya üzerinde kimin hangi işlemleri yapabileceğine dosyanın sahibi olan 
kullanıcı karar verir. Erişim hakları, dosyanın sahibi, grubu ve diğerleri için ayrı ayrı belirtilir. 
Dizinler için de aynı erişim hakları modeli geçerlidir. Bir dizin üzerindeki okuma izni, dizin 
altındaki programların listesinin alınıp alınamayacağını, yazma izni dizinde yeni bir dosya 
yaratılıp yaratılamayacağını, çalıştırma izni de o dizine geçilip geçilemeyeceğini belirler. 
Yetkili kullanıcının (root) bütün dosyalar ve dizinler üzerinde (birkaç sistem dosyası ve 
dizini haricinde) bütün işlemleri yapma yetkisi vardır. 

zOS UNIX'de dosya ya da alt dizinlere verilen izinlerin sembolik formatta gösterimi 
şöyledir: 

3 karakter 3 grup vardır. İlk üç karakter dosyanın ya da dizinin sahibinin yetkilerini, ikinci 
üçlü dosyanın sahibiyle aynı kullanıcı grubunda yer alan kullanıcıların yetkilerini, son üçlü 


ise diğer kullanıcıların yetkilerini tanımlar. 
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 W X  W X  W X 


Dosya ya da dizin sahibi Aynı gruptakiler Diğer kullanıcılar 


r - Dosyayı okumaiznini 
w - Dosyaya yazma iznini 


x - Dosyayı çalıştırma iznini gösterir. 


Her üçlü de aynı kalıptadır. Her üçlünün ilk pozisyonunda bir r harfinin varlığı, ilgili 
kullanıcının dosyayı okuma yetkisinin bulunduğunu gösterir. Bu pozisyonda bir eksi işareti 


varsa, söz konusu kullanıcı tipi için okuma yetkisi olmadığı anlaşılır. 


Şimdi aşağıdaki örneğe bakalım, örnekte Her satırdaki “rwxr-xr-x*” benzeri kalıplarda 
görünen kodlar, kullanıcıların dosya (ya da dizin) üzerindeki erişim yetkilerini 
tanımlamaktadır. Örnekte ikinci satırdaki. sh history'nin bir dosyayla ilgili olduğunu (en 
baştaki “-” işaretinden anlıyoruz); bu dosyanın sahibinin bu dosyada okuma (r: read), 
yazma (w: write) yetkilerinin olduğunu; diğer kullanıcıların yetkilerinin bulunmadığını 


anlıyoruz. 


Birinci örnek ise bir dizine aittir (en baştaki “d” işaretinden anlıyoruz); ve bu dizinin 
sahibinin okuma, yazma, çalıştırma yetkisinin olduğunu, ikinci gruptan ise bu dizine erişim 
yetkisi olan grupların sadece çalıştırma ve okuma yetkilerinin olduğunu, üçüncü gruptaki 
bilgiden ise diğer kullanıcıların sadece çalıştırma yetkilerinin olduğunu anlıyoruz. Ayrıca 
birinci gruptaki rwxr bilgisinden bu dosyada sadece sahibinin değişiklik yapabileceği 
bilgisini anlıyoruz. 


drwxr-xr-x 6 SYSLOGD 1 544 May 9 2011 SYSTEM 
—1Ww-—————— 1 SYSLOGD 1 1522 Aug 8 04:51 .sh history 


Birinci satırdaki örnekte izin bilgilerinden sonra 6 rakamı görülmektedir, bu dizinin altında 
kaç tane dizin olduğunu gösterir, SYSLOGD, bu dizinin sahibinin “SYSLOGD” isimli 
kullanıcı olduğunu belirtiyor. 1 rakamı ise bu dizinin sahibinin “1” grubundan bir kullanıcı 
olduğunu belirtiyor. 544 rakamı, bu rakamın dizinler için pek işe yarayan bir anlamı yoktur. 
Dikkate alınmayabilir. Dizindeki dosyaların listesini, bu dosyaların diskin hangi bloklarında 
yer aldığını gösteren bilgileri saklamak için kullanılan disk alanı miktarını byte olarak 


gösterir. 
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May 9 2011 ise, Dizinin en son 9 Mayıs 2011 yılında değişikliğe uğradığını, örneğin bu 
Tarihte bir dosya/alt-dizin eklendiğini, ya da dosya/alt-dizin silindiğini belirtiyor. Bir dizinin 
altındaki bir dosyada yapılan değişiklikler dizinin son değişiklik saat ve tarihini değiştirmez. 


Bu değişiklik için dosya/alt dizin silinmesi ya da eklenmesi gerekir. 


İkinci satırdaki örneğin bilgilerini yorumlamaya devam edersek; 1 rakamı bunun basit bir 
dosya dosya olduğunu, SYSLOGD, bu dosyanın sahibinin “SYSLOGD” isimli kullanıcı 
olduğunu belirtiyor. Sonraki rakam bu dosyanın sahibinin “1” grubunda olduğunu belirtiyor. 
1522 rakamı ise dosyanın byte cinsinden büyüklüğünü göstermektedir. Aug 8 04.51 ise 
dosyanın en son 8 Ağustosta saat 04.51 de değiştirildiğini. sh history ise dosyanın adını 


göstermektedir. 
Aşağıdaki karakterler her grubun çalıştırma (3.) pozisyonunda görülür: 


s — Eğer grup sahibi izinlerindeyse, etkin kullanıcı kimliğini dosya sahibinin kullanıcı 
kimliğine getirir. 

S -sileaynıdır ancak çalıştırma biti kapalıdır (off) dur. 

t - yapışkan bit on dur. 

T -tile aynıdır ancak çalıştırma biti kapalıdır (off) dur. 


Eğer dosya ya da altdizin için tanımlanmış genişletilmiş erişim kontrol listesi (ACL) kayıtları 


varsa, sembolik değerden hemen sonra * karakteri görülür. 


Not: dizinlerin octal mı yoksa sembolik formatta mı gösterileceği, Directory List Options 
panelinde Options pull-down menuden seçilebilir. Bunun için TSO ortamından tso ishell 
komutu girilmelidir. Gelen ekranda pop-up menüdeki Options seçeneğindeki 1. Seçenek 


Directory list seçeneğidir. 
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File Directo 


IY 


Special file 


Tools 


File systems 


Options Setup Help 


SSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSS ESSSSSSSSSSSSSSSSSSSSSSSSSSN 


UNIX System Services ISPF She e 


Enter a pathname and do one of these: 


— Press Ent 


er. 


— Select an action bar choice. 


e 


e 


e 


e 


1. 
2x 
Bis 
4. 
Sİ 


Directory list... 

Default actions... 
Edit or browse... 

Mount table... 


Advanced... 


e 


e 


e 


e 


e 


DSSSSSSSSSSSSSSSSSSSSSSSSSSM 


— Specify an action code or command on the command line. 


Return to this panel to work with a different pathname. 


More: * 


Select options 


/ File type 


Permissions: 


Permissions: 


Change time 
Owner 


File size 


View/change 


View/change 


/  Verbose directory list panel 


Directory List Options 


and fields to be displayed with / 


( 


(1 
( 
(1 


so 


4 columns) 


rwx (10 columns) 


6 columns) 
9 columns) 


0 columns) 


rt options... 


octal ( 4 columns) 


file name highlighting... 


Null Enter refreshes list 


Stop processing multiple selections after a message 


Do not normalize the selected path to the real path 


Eğer 


/. Permissions: 


Iype Perm 
» Dir 755 
— Dir 755 
— Dir 555 
. File 600 
» Dir 755 
- Symi 777 
 Syml 777 

Dir 755 


Eğer 


/. Permissions 


Filename 


.sh history 


bin 
dev 
etc 
lib 


: rwx (10 columns) 


Type Permission Filename 


octal ( 4 columns) 
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seçilirse görüntü: 
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seçilirse görüntü; 


ç Dir LWKE-KE-X 

— Dir IE-XI-XIE-X 

— File TW--———-—— .sh history 
Dir IrWxr-xr-x bin 


- Symi IWXLWX£LWX dev 


Syml IWXEWXIWK etc 


— Dir ITWXr-XE-K lib 
— Dir IWXE-XIE-X OpPt 
olur. 
Yapışkan bit 


"Yapışkan bit" dizinlere ve dosyalara uygulandığında farklı anlamlar taşır. Eğer bir dizinin 
yapışkan biti 1 ise, bir kullanıcı o dizinde yeni bir dosya oluşturabilir, fakat dizindeki diğer 
dosyaları, kendine ait olmadığı veya açık bir şekilde izin verilmediği sürece silemez. Bu bit, 
(tmp gibi herkesin dosya yazabileceği ve silebileceği, ama diğer hiçbir kullanıcının 
başkalarının dosyalarını silememesinin sağlanması gereken dizinler için tasarlanmıştır. 
Uzun dizin listesinde yapışkan bit t olarak görünür. Bir başka örnek, dosya göndermenize 
izin verilen ftp sunucularıdır. Burada aynı dizine herkes dosya aktarımı yapabilir, ama bir 


kullanıcının koyduğu dosyayı diğer bir kullanıcı silemez. 
Dizin Örneği: 


Is, bulunulan dizinde var olan tüm dizin ve dosyaları listelemek, görüntülemek için 


kullanılır. Şimdi aşağıdaki örnekteki yer alan Is —| komutunun çıktısını yorumlayalım: 


dewxi-xr-x 3 kevin users 512 Sep 19 13:47 .public. htmi/ 

1. bit - dizin mi? (evet d harfi dizini gösterir) 
2. bit - sahibi okuyabilir mu? (evet, kevin tarafından) 
3. bit - sahibi yazailiror mu? (evet, kevin tarafından) 
4. bit - sahibi çalıştırabiliyor mu? (evet, kevin tarafından) 
5. bit - grup üyeleri okuyabilir mu? (evet, users tarafından) 

6. bit - grup üyeleri yazabiliyor mu? (hayır) 

7. bit - grup üyeleri çalıştırabiliyor mu? (evet,users tarafından) 

8. bit - diğerleri okuyabiliyor mu? (evet, herkes tarafından) 

9. bit - diğerleri yazabiliyor mu? (hayır 

10. bit - diğerleri çalıştırabiliyor mu?(evet, herkes tarafından) 
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Dosya ve dizinlerin erişim yetkilerini değiştirmek 
chmod (change mode) 


komutu kullanılır. 


chmod JugoajJ|*--J/rwxstJ dosya adı 


Burada, 

: Dosya/dizinin sahibi (user) 

: Dosya/dizinin sahibiyle aynı grupta olanlar (group) 
: Diğer kullanıcılar (others) 

: Herkes (all) 


: Yetki ekleme 


* v Oo © cc 


: Yetki eşitleme 


: Yetki çıkarma 

r: Okuma yetkisi (read) 

w. Yazma yetkisi (write ) 

x: Çalıştırma yetkisi (execute) 

s: suid biti 

t: sticky bit 

Birkaç örnek vermek gerekirse: 

chmod a*x tarsus komutu, tarsus isimli program dosyasına herkes için çalıştırma yetkisi 
verir. 

chmod o-w vbt.z vbt.z dosyasından, diğer kullanıcıların yazma yetkisini kaldırır. 

chmod gozrx tarsus tarsus isimli dosyanın grup ve diğerleri için erişim yetkisini r-x 
kalıbına eşitler. 

Bir dizindeki tüm alt dizin ve onların altındaki tüm dosyaların erişim yetkileri tek harekette 
değiştirmek istendiğinde 

chmod -R 755 SYSTEM 

komutunda olduğu gibi “-R” parametresi kullanılır. 


Dizinlere Erişim Hakları 
Dosyalar için r, w ve x yetkileri yeteri kadar açık olmasına karşın dizinler için bu yetkilerin 


anlamları biraz daha karmaşıktır. Bir dizin için r (read) yetkisi varsa: O dizindeki dosyaların 
isimleri Is komutu ile görülebilir. (Eğer x (execute) yetkisi yoksa, bir dizin için Is komutunun 


kullanılabilinmesine karşın, “Is -* komutu kullanılamaz). 
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Kullanıcının bir dizin için w (write) yetkisi varsa: 


O dizindeki dosyaların yerleşiminde değişiklikler yapabilir. Örneğin, dosyaların adını 
değiştirebilir veya dosyaları silebilir. Eğer bir dizinde w yetkisi varsa, fakat o dizin içindeki 
bir dosyaya w yetkisi yoksa o dosyanın içeriğini değiştiremez, silemez veya adını 


değiştiremez. 


Kullanıcının bir dizin için x (execute) yetkisi varsa: 

Çalışma dizinini bu dizin olarak değiştirebilir. (cd komutunu bu dizin için kullanabilir). Bir 
dizini çalışma dizini olarak kullanmak için r (read) yetkisi yeterli değildir; x yetkisi de 
gerekir. İçinde gizli bilgiler olmayan ama gene de diğer kullanıcılar tarafından kurcalanması 


istenmeyen dizinler için en uygun yetki düzenlemesi rwxr-xr-x (755) olarak kabul edilir. 


Eğer bir dizini sahibinden başka kimsenin kullanması istenmiyorsa, “chmod go-rwx 


dizin adı” komutuyla o dizinin erişim yetkileri “nwx------ (700) olarak ayarlanabilir. 


Bir dizin için w (write) ve x (execute) yetkisi varsa: O dizinde yer alan bir dosyaya yazma 
yetkisi olmasa bile o dosya silinebilir veya adı değiştirilebilir. O yüzden değerli dosyaları 
içeren dizinlere başka kimse için yazma yetkisi verilmemelidir. Bir başka deyişle bir dizin 
için verilmiş olabilecek “rwxrw-rw-” ya da “rwx---rwx” gibi bir yetki kalıbı çok tehlikelidir. 
Bu nedenle bu tip bir yetki kalıbı kullanılmak zorunda kalınırsa o dizinin “sticky bit”i de 


ayarlanmalıdır. 


umask: Dosya ve Dizinlerin Varsayılan Erişim Yetkileri 


zOS UNIX sisteminde yeni yaratılan dosya ve dizinler için atanacak varsayılan erişim 
yetkileri umask değeriyle belirlenir. umask komutu parametresiz kullanılırsa, o anda 


geçerli olan umask değeri öğrenilir. 


O umask 
0022 
ö 
> 
INPUT 
ESCXÇ 1zFHelp 2-SubcCmd 3—HlpRetrn 4-Top 5>Bottom 6-TSO 
7-BackScr 8-Scroll 9—NextSess 10-Refresh 11-FwdRetr 12-Retrieve 
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umask değerini değiştirmek için; 
Ö umask 033 


umask değeri, verilen yetkileri değil, kaldırılan yetkileri belirtir. 


033 sayısını O 3 3 şeklinde 3 ayrı sayı olarak düşünelim ve her sayıyı üçer haneli ikilik 


sayılara (binary) çevirelim. 


033: 000 011 011 


Sonra bu diziyi, “rw- rw- rw-” ve “nwx rwx rwx” şablon yetki kodları ile alt alta yazalım. 


Dosyaların yetkileri Dizinlerin yetkileri 
Şablon Yetki rWw- rWw- rWw- Wx Wx TWXx 
Umask 033 000 011 011 000 011 011 
Atanacak Yetki rWw- r - - r - - TWXx r-- r-- 


Bu düzenlemede O'ların altına gelen yetkilere dokunulmadı, 1lerin altına gelen yetkiler 
kaldırıldı. Yani, umask değerinin 033 olarak atanmasından sonra yeni yaratılan bir 
dosyanın erişim yetkileri “rw-r--r--”; yeni bir dizinin erişim yetkileriyse “rwxr--r--” olarak 


belirlenecektir. 


Dosyaların ve Dizinlerin Sahibini Değiştirmek 


chown (change owner) 

Bu komutu sadece “root” kullanabilir! 

Erişim yetkileriyle ilgili olarak, zaman zaman dosya ve dizinlerin sahiplerinin değiştirilmesi 
gerekebilmektedir. 

Örneğin, root kullanıcı bir nedenle, bir kullanıcı dizininde bir dosya ya da dizin yaratırsa ve 
bu yeni yaratılan dosya/dizinin o kullanıcı tarafından tam yetkiyle kullanılmasını isterse, 
bunu sağlamanın yolu, bu yeni yaratılan dosya/dizinin sahibini o kullanıcı yapmaktır. 
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Komut formatı: 

chown $-fhR” owner$:group” pathname ... 
Dosyaların ve Dizinlerin Gruplarını Değiştirmek 
chgrp (change group) 

Bu komutu sadece “root” kullanabilir! 

RACF kullanıcı ve grup tanımlama komutları: 


Kullanıcı tanımlamak için: 

ADDUSER (AU) 

Grup tanımlamak için: 

ADDGROUP (AG) 

Grupta ve kullanıcı da değişiklik yapmak için: 
ALTUSER (ALU) ve ALTGROUP (ALG) 

Var olan bir kullanıcıyı OMVS segmentine atamak için: 


alu jale omvs(uid(4670) homef'/u/jale') program('/bin/sh") 


Geleneksel UNIX sistemleri superuser'lara (UID 0) yetki gerektiren her türlü görevleri 
yapma izni verir. 7/OS da ise superuser hakkı verilmesi için RACF OMVS segmentinde 
UID-0 atamasının yapılmasını o gerektirir. Ayıca RACF FACILITY  class'ta 
BPX.SUPERUSER profiline READ erişim hakkı verilmelidir. 


UNIX ile ilgili FACILITY & SURROGATE class profilleri 


* Hepsi BPX prefix'i ile başlarlar 

»*  UACCI(NONE) ile tanımlanırlar ve sonra gruplara gerekli minimum erişim izni verilir 

* Genel olarak belirli korunmuş UNIX fonksiyonunu kullanabilmek için yetkili 
kullanıcılar en azından READ erişim yetkisine sahip olmalıdırlar 

: Genel BPX.“ profili tanımlamaktan SAKINILMECEDIR 


BPX.DAEMON 
BPX.DAEMON'u hangi kullanıcılara diğer kullanıcıların kimliğini üstlenme izninin verildiğini 


kontrol eder. Eğer BPX. DAEMON tanımlanmamışsa o zaman bütün 
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superuser'lar daemon yetkisine sahip olurlar!! 


Daemon'ları kısıtlamak için kullanılması gereken komut: 


RDEF FACILITY BPX.DAEMON UACC(NONE) OWNER(SECADM) 


Yüklenen ya da çalıştırılan tüm MVS ve 7/0S UNIX programları program kontrollü olmak 


zorundadır. 
BPX.SERVER 


BPX.SERVER z/OS da çalışan sunucuların güvenlik ortamlarını düzenler. 
BPX. SERVER çağırıcıların thread'i için güvenlik ortamı oluşturan ya da silen 
pthread security np() kullanımını kısıtlar 


z/ OS kaynaklarına erişim yetkisini tanımlayan BPX1ACK servisinin kullanımını kısıtlar 


z! OS: Otomatik UID'ler & GID'lerin Atanması 


Bir kullanıcının 2//OS UNIX ortamına erişmesi için o kullanıcının mutlaka spesifik bir UID'si 
ve GID'si olmak zorundadır. Talep edilmesi halinde RACF BPX.NEXT.USER profilini ve 
add/altuser, add/altgroup komutlarının AUTOUID & AUTOGID operandlarını kullanarak 


otomatik olarak OMVS segmentinde tekil bir ID üretir. 


“Ön koşullar: 

Tekil UID'leri & GID'leri yürürlüğe sokacak, UNIXPRIV class'ında SHARED.IDS profili 
tanımlanmalıdır 

Ayrıca UNIXPRIV class'ında BPX.NEXT.USER profili tanımlanmalıdır. 


Not: 

zZOS UNIX sisteminde de kullanılabilecek binlerce komut vardır. Seyrek kullanılan 
komutların genel yapılarını ve parametrelerinin hepsini hatırlamak pek kolay olmadığı için, 
UNIX tüm komutlarının kullanım kılavuzlarını standart ve çevrim içi (çevrimiçi) olarak 
sunmaktadır. Bir komutun nasıl kullanılacağını öğrenmek ya da hatırlamak istediğinizde, 
man komut-adı 


komutunu vermeniz, “komut-adı” adlı komutun kullanım kılavuzu sayfalarının 
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ekranınızda görüntülenmesini sağlayacaktır. Man kısaltması manual anlamındadır. 
Örneğin, Is komutunun nasıl kullanılacağını, ne gibi seçenekleriniz olduğunu merak 
ederseniz, 

man İs 


komutunu kullanabilirsiniz. 


1.14 z/OS'un Riskli Alanları 

z/OS'un kritik sahalarına kasıtlı ya da kazayla zarar verilecek girişimlerde bulunulmasını 
önlemek için z/OS'un riskli alanlarının tespit edilmesi ve bu sahaların denetlenmesi 
önemlidir. Bu nedenle z/OS'un riskli alanlarını tespit ederken aşağıdaki iki prensibi akılda 


tutmak gerekir: 


En Kolay Giriş Prensibi Herhangi bir saldırgan, bir bilgisayar sistemine girmek için 
kullanılabilecek en kolay yolu deneyecektir.En kolay yol demek, en belirgin, en çok 


beklenen veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir. 


Gerektiği Kadar Koruma Prensibi Değerli şeyler (yazılım, donanım, veri) sadece 
değerleri geçerli olduğu sürece korunmalı. Korumak için harcanan süre, çaba ve para, 
korunan şeyin değeriyle orantılı olmalı.Tespit edilen alanlarla ilgili olarak aşağıdaki 


hususları da göz önünde tutmak gerekir: 


» Riskaltındaki bilginin değeri 
» Riskalma potansiyeli 


»e Korunması gereken değerlerin ve alınabilecek risklerin belirlenmesi 


Başlangıç noktası olarak / 0S sisteminde aşağıda belirtilen alanların tümü gözden 


geçirilmelidir. 


e İPLİ seçeneklerinin tanımlandığı SYS1.PARMLIB ve diğer kullanılan PARMLIB 
dataset'leri ((PAC.PARMLIB, SYS1.IBM.PARMLIB) SYS1.IPLPARM dataseti 


» Master Katalog ve Kullanıcı katalogları 
» APFveLINKLIST kütüphaneleri 


» SYS1.LPALIB ve onun bileşenleri 
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JES2 Started Task'lar (STC's) 

Program Özellikler Tablosu (PPT) 

Kurulu Güvenlik ürünündeki Program çalıştırmayla ilgili kontroller 

Özel TSO ve SDSF Ayarlamalarının yapıldığı dataset'ler 

USS, UNIX ortamlarının Kontrol Edilmesi 

Sistem Exit'leri Sistem denetleme araçları (SMF, SYSLOG, System Logger) 
Üçüncü parti ürünlerinin parametre ve prosedür dataset'leri 

HCD panelleri ve IODF komutları 


FTP ve TN3270 


Sistem Proc. kütüphaneleri 


Kesin (yüzde yüz) güvenlik ulaşılabilir değildir! 


z/ OS'u kurşun geçirmez kılmak için sadece teknolojik üstünlüklerinden faydalanmak yeterli 
değildir, onu kullananların da güvenlik konusunda azami dikkati göstermesi gerekir. 
Örneğin etkin olmayan oturumlar tanımlanmış belirli bir hareketsizlik süresinden sonra 
kapatılmalıdır. £ Kullanıcılardan, oparolaların seçiminde ve kullanımında güvenlik 
uygulamalarını izlemeleri istenmelidir. Kurum dışından temin edilen yazılımlar kuruluş 


tarafından denetlenmeli ve izlenmelidir. 


z/OS sisteminde yer alan verilerde herhangi bir şekilde bozulma ya da silinme olduğu 
zaman en yakın sistem yedeklerine dönmek yararlı bir yöntemdir. Bu nedenle z/OS 
sistemindeki bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve yedekleme 


politikasına uygun şekilde düzenli olarak test edilmelidir. 


Bir sistemin düzenli olarak yedeğini almak çok zor iştir; Bu nedenle Kritiklik / Gereklilik 


analizi çok iyi yapılmalıdır. 
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2.0 z/0OS Güvenlik Sunucusu RACF 


RACE, bir IBM yazılım ürünüdür. Resource Access Control Facility (Kaynak Erişim Kontrol 
Hizmeti) kelimelerinin kısaltmasıdır. IBM zSerisi makinelerde z7/OS ve z/VM işletim 
sistemleri için erişim kontrolü ve denetim fonksiyonları sağlayan bir güvenlik sistemidir. 
RACF 1976 yılında tanıtılmıştır. 


RACF sadece izin ve yetki kayıtlarını tutmaz, daha çok güvenlik politikaları kurar. 


RACF sayısal sertifikalar / açık anahtar altyapı hizmetleri, LDAP arayüzleri, büyük, küçük 
harf duyarlı ID'ler / parolalar gibi pek çok modern güvenlik özelliklerini desteklemek için 
sürekli geliştirilmektedir. zSeries donanımın temel çalışma esası RACF ile sıkı sıkıya 


uyumludur. 


Örneğin, sayısal sertifikalar tamper-proof (tahribe dayanıklı) kriptografik işlemciler içinde 
korunur. Temel mainframe altsistemleri, özellikle DB2, çok katlı güvenliği (MLS) sağlamak 
için RACF kullanır. 


Operating 
System 


RACF 
Databases 


— Resource 
manager 


Lİ 


or 
storage 
data 


RACF'in İşletim Sistemi ile İlişkisi 
RACF ve z/OS SAF sistemin her tarafında güvenliğin olmasını sağlarlar. 


Yukarıdaki şekil RACF'in işletim sistemi ile nasıl ilişkili olduğunu göstermektedir: 
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1. Kullanıcı bir kaynak yöneticisini (örneğin TSO/E) kullanarak bir kaynağa erişmek 
ister. 

2. Kaynak yöneticisi, kullanıcının kaynağa erişip erişemeyeceğini görmek için RACF'e 

erişim isteği gönderir. 

RACF, RACE veri tabanına başvurur. 

Veri tabanında uygun olan kaynak profilini kontrol eder. 

Profildeki bilgiye uygun olarak bir sonuç elde eder 

RACEF isteğin sonucunu kaynak yöneticisine iletir 


O » © 


Kaynak yöneticisi erişim isteğine izin verir (ya da ret eder) 


RACF'in rakipleri ACF2 ve TopSecret ürünleridir. Her iki üründe CA firması tarafından 


üretilmiştir. 


RACF (Güvenlik sunucusunun bir parçası) ve ürünlere eklenen diğer paketler z/OS 


mainframe'i üzerinde temel güvenlik iskeleti sağlarlar. RACF güvenliğin belkemiğidir. 


Mimari 


» RACF, Kaynak Erişim Kontrol Hizmeti z2//OS sistemlerine ilave kurulum yoluyla 
uygulanan bir üründür. 
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2.1 RACF'in İşlevleri: 


» Kurallar yardımıyla kaynaklara erişimi kontrol eder. 
» Kaynaklara erişimi kayıt altına alır ve bir denetçi tarafından kolayca izlenmesini 
sağlar. 


» Kullanıcılar, gruplar ve kaynaklar erişim kuralları ile bir yönetici tarafından yönetilir. 


— mm... 
-| 
| İl.“ 
b 


RACF database K 
Primary ve backup i 
Lokal ve remote paylaşım 


Security 
Yöneticisi > 


# 


e Kaynak güvenliği 


Denetleme 
raporları 


GüvenlikKonsolu 
ihlallerin raporlanması 


Kullanıcı ib ve yetkilendirme 
» Kullanıcıları tanımlar ve kimliklerini doğrular 

» Kullanıcıları korunmuş kaynaklara erişebilmeleri için yetkilendirir 
»e Yetkisiz erişim teşebbüslerini kayıt altına alır ve raporlar 

» Erişim araçlarının kaynaklara erişimini kontrol eder 

» Raporlama, denetleme ve yönetme araçları sunar 

»e Uzaktan yönetim imkânı vardır 

» Yetkili kullanıcılar olduğunda LDAP ile çalışır 


» Orta katman uygulamalar ve diğer uygulamalar için kaynakların tüm sınıflarına 
yapılan erişimleri kontrol eder. 


» Uygulamalara hiç müdahale etmeden denetleme yapılmasını sağlar 
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» İşletim sistemiyle bağlantı kurar 
» Kurumsal Kimlik Yönetimi olanağı sunar 
» Kriptografik hizmetleri destekler 


» Sayısal sertifikaları destekler 


RACF korunmuş kaynaklara erişme yolu sağlar 


KORUNMUŞ KAYNAKLAR 


KULLANICI & GRUP 


evet ERİŞİM YETKİSİ hayır 


» RACF, kaynaklara erişim isteklerini yetkilendirerek ve kullanıcı kimliklerini 


doğrulayarak işletim sisteminde çalışan bir katman olarak görev yapar 
» RACF birden çok uygulama kaynaklarını ve networkleri koruyabilir 


» RACF'in RRSF olanağı, güvenlik yöneticisine çoğunlukla felaket kurtarma 


merkezlerinde, RACF veri tabanlarını uzaktan yönetme imkânı verir. 


» RACF kısa süreli (span) platformlardaki uygulamalar için tek kullanımlık şifreleme 


alternatifleri sağlayarak Pass Ticket'ları kullanma olanağı verir 


2.2 Kullanıcı kimliklerinin tanımlanması 


Bir kullanıcı işletim sistemine log on olduğu zaman, RACF, erişen kullanıcı için bir kimlik 
bilgisi düzenler, buna kullanıcının kimliklendirilmesi denir. RACF'in, kimliklendirme yapması 
için bir kullanıcı kimliğine, yani kullanıcı ID" sine ihtiyacı vardır — kullanıcı ID'si özgün bir 


tanımlama dizisidir. RACF, sisteme girmek isteyen 
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kullanıcının, kullanıcı kimliğini kontrol etmek için kullanıcıya parola sorar ve kullanıcının 
girdiği parolayı kendisinde daha önce kayıtlı olan parolayla karşılaştırır. Her RACF 
kullanıcı ID'sinin özgün bir şifresi vardır. Bu şifre, sadece o kullanıcı tarafından bilinir. 
Böylece, RACF sisteme erişen her kişinin, kişisel hesap verme sorumluluğunu garanti 


altına almış olur. 


Bir kullanıcı RACF'e ilk defa tanımlandığında, grup ya da güvenlik sorumlusu, kullanıcıya 
bir kullanıcı ID'si ve parola verir. Parola genellikle geçicidir. Geçici parola ilk defa sisteme 
girecek kullanıcının, sisteme logon olmasını sağlar. Kullanıcı sisteme logon olur olmaz 
RACF kullanıcının geçici parolayı değiştirmesini gerekli kılar ve bunun için kullanıcıyı 


kendisinin belirleyeceği bir parolayı girmesine zorlar. 


Not: Bazı uygulamalar kimlik doğrulamayı sayısal sertifikalar ya da Kerberos yardımıyla 
yaparlar. Böyle uygulamalara erişildiğinde bir kullanıcı ID si ve parola girilmesine gerek 


yoktur. 


Authorization — Yetkilendirme: Kullanıcılara sisteme, diğer kullanıcılara, programa ya da 
ağa erişim hakkının verilmesi. 

Authentication— Kimlik doğrulama: Kaynak ya da kullanıcının kimliğinin onaylanmasıdır. 
Accounting — Hesap Yönetimi: Herhangi bir kullanıcının ne yaptığı, kullanıcı hareketleri, 
kullanıcı veri bağlantıları ve kullanıcı sistem kayıtlarının izlenebilmesi amacıyla yapılan 


işlemdir. 
Koruma Seviyeleri 
RACF hiyerarşik bir yapıda çalışır 


» ALLOC dataset oluşturmaya ve silmeye izin verir 
» CONTROL VSAMrepro'ya izin verir 

» WRİTE verinin güncellenmesine izin verir 

» READ verinin okunmasına izin verir 


» NONE hiç bir erişime izin vermez 
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Dataset koruma 


» Bir dataset profili veri tabanında oluşturulur ve burada tutulur 
» Bu profil kullanıcılara ve gruplara erişim seviyesi verir 
» Ayrıca bir Universal erişim seviyesi de set edilir 


» Profil özel ya da genel, özel sembollü ya da özel sembolsüz olabilir 


Örnek: SYS1.*.** için RACF erişim listesi: 


ID rişim 
SYSI ALTER 
AHMET UPDATE 
MEHMET ALTER 
FEZA ALTER 
MERYEM NONE 
TARIK READ 
CICSRSI ALTER 


Yukarıdaki örnekte değişik kullanıcı kimliğine sahip özneler, SYST ile başlayan ve ikinci 
HLO'su her ne olursa olsun ayrıca ikinci HLO'dan sonra gelen HLO ne olursa olsun 
özelliğine uyan dataset'lere olan erişim yetkilerini göstermektedir. Bu özelliğe uyan dataset 


örnekleri: 


SYSI.BRODCAST 

SYSI.CPAC.HZSPDATA 
SYSI.CICSTS42.CICS.SDFHLINK 
SYSI.VBT.DUMP.D140605.T083423.S00001 


2.3 Genel kaynakları koruma 


Pek çok sistem kaynakları RACF ile korunabilir, bu kaynaklar: 
»e DASD volume'leri 
» Teyp'ler 
» CİICS yada DB2 transaction'ları 
e JES spool dataset'leri 
e Sistem komutları 


»e Uygulama kaynakları ve daha pek çok kaynaklardır. 
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RACF görüntü kontrolü kavramı 


KAYNAK YÖNETİCİSİ 


DRAERSUTE > 


e Kullanıcı kimliği 

. Grup 

. Her kullanıcı en az bir gruba ait olmalı 

. Grup yapıları çoğunlukla kaynaklara erişim için kullanılır 
. Kaynak 

. Kaynak sınıfları 

. Class tanımlama tablosu — customize için kullanılır 
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Loglama ve raporlama 


RACE istatistiksel bilgi verir 
RACF eğer aşağıdaki durumlardan biri meydana gelirse bir güvenlik log'una kayıt yazar: 
» Sisteme yetkisiz bir erişim girişimi olursa 
»e Kaynaklara erişim olursa 
» Bu durum kaynak tanımlanırken verilen değerlere bağlıdır 
e Örneğin AUDIT(ALL(UPDATE)) tanımı yapılmışsa bir kaynağa yapılan bütün 
güncellemeler kayıt edilir 


» Komutgirilmişse 
RACF güvenlik gereksinimini sağlamak için aşağıdaki yetenekleri kullanır: 


» Kullanıcıları kimliklendirir ve kimliklerini doğrular 

» Korunmuş kaynaklara erişim için kullanıcıları yetkilendirir 
» Kaynaklara erişim araçlarını kontrol eder 

» Korunmuş kaynaklara erişim girişimlerini loglar ve raporlar 


e Kurulumun güvenlik hedefleriyle yönetimin güvenlik hedeflerini buluşturur. 


RACF bu fonksiyonları kurulum sırasında kullanıcıları ve kaynakları korunmuş olarak 


tanımlayarak yerine getirir. 
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2.5 RACF veri tabanı 


RACF veri tabanı tüm RACF erişim kontrol bilgilerini tutar. RACF'e tanımlı bir kullanıcı 
sisteme her girdiğinde ve her RACF — korumalı bir kaynağa erişmek istediğinde RACF o 
kullanıcı ile ilgili bilgiyi veri tabanından alarak işleme sokar. Bu bilgilerden bazıları bellekte 


hazır tutulur. 


RACF veritabanları işletim sistemi tarafından desteklenen herhangi bir DASD üzerinde 
bulunabilir. Eğer RACF yoğun kullanılırsa, veri tabanını, sistem performansını mümkün 
oldukça en az derecede etkileyecek kontrol ünitesi ve kanalın bağlı olduğu device'a 
koymak için plan yapılmalıdır. Bu device sorgulamalara en hızlı cevap veren bir device 


olmalıdır. 
RACF veri tabanının bakımı komutlar, makrolar ve utility'lerle yapılır. 


RACF veri tabanı non-VSAM tek sefer büyümeli 4 KB bloklardan meydana gelmiş 


dataset'tir ve mutlaka sisteme kataloglanmalıdır. 


Sistemde iki RACF veri tabanı bulunur asıl veri tabanı ve yedek veri tabanı. RACF asıl veri 
tabanı bozulduğunda sistemi kesintiye uğratmadan asıl veri tabanının yedek veri tabanıyla 
yer değiştirmesine izin verir. Yedek veri tabanı, esas veri tabanının bütün içeriğini yansıtır. 
Kurulum sırasında bir kez yedek veri tabanı oluşturulduğunda, RACF onu otomatik olarak 


muhafaza eder. 


RACF veri tabanı büyüklüğüne karar vermek 


Performans nedenlerinden dolayı asıl ve yedek veritabanlarının SPACE büyüklüğünü 
değiştirmek gerekebilir. RACF veri tabanının ilk oluşturulma job'ında bu işlem SYSRACF 
DD adımında verilir. Bu adımda space'in büyüklüğünü CYL cinsinden vermek performans 
açısından daha iyidir çünkü RACF yöneticisi RACF veri tabanına erişmek için EXCPVR 
makrosunu kullanır. EXCPVR makrosu kanal ve device'ların etkili kullanılması, veri 
korunması, interruption prosedürleri ve hata ayıklamak için sistemin /O isteklerini sıraya 
sokmak ve zamanlamak için kullandığı makrolardan biridir. Bu nedenle SPACE değeri 
CYL'den küçük birimle verilirse daha fazla 1/O isteği oluşabilir. 

SPACE-(CYL ,(xx),,CONTIG) 
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2.6 RACF Veri tabanının Korunması 


Asıl ve yedek veritabanlarını içeren dataset'lerin korunması çok önemlidir. Bunun yanında, 
RACF veri tabanının unload edilmiş dataset'lerinin ve yedek kopyalarının da korunması 
gereklidir. Bu dataset'leri korurken, veriye erişip onu değiştirecek ya da okuyacak job'ların 


ve kullanıcıların sadece yetkili kullanıcılar olmasına dikkat edilmelidir. 


Bu dataset'ler, UACC(NONE), NOWARNINGve ERASE olarak belirtilmiş dataset profilleri 
ile (korunmalıdır. . Profiller, oOerişim listelerinde (kesinlikle (ID(*) içeren tanım 
bulundurmamalıdır. NOTIFY bilgisi sadece RACF güvenlik yöneticisine dönmelidir. RACF 
veri tabanını onarmak için block update komutunu (BLKUPD) kullanması gereken sistem 
programcıları veri tabanına UPDATE yetkisi almalıdır. Veri tabanını kopyalamak için 
IRRUT400 ya da IRRUT200 programlarını kullanması gereken sistem programcıları veri 
tabanına READ yetkisi almalıdır. 


Eğer kuruluş volume'lere erişmek için DASDVOL class'ında profiller kullanıyorsa, RACF 
veri tabanını içeren dataset'lerin bulunduğu volume'lere READ erişim yetkisine sahip 


kullanıcıların sayısı kesinlikle sınırlı tutulmalıdır. 


RACF Veri Paylaşımının Kullanılması 


Sysplex sistemler RACF veri tabanını paylaştıklarında, iki seçenek ortaya çıkar: 


» RACF sysplex iletişim seçenek hizmetleri sistem yönetimi 

»e Eğer CF uygunsa, sysplex iletişimini kullanmaya izin verilen sistemler RACF veri 
paylaşım seçeneğini kullanabilirler. RACF veri paylaşımı veri erişim performansını 
artırır. 

» Özellikle sysplex sistemlerde, RACF veri paylaşımı özelliği kullanılarak RACF veri 
tabanına yapılan device çekişmesi azaltılabilir. Bunu yapmak için: 

» Sysplex veri paylaşım grubunun her bir üyesi aynı veri tabanını paylaşmalıdır. 

» Sysplex veri paylaşım grubunun üyeleri veri tabanını herhangi bir üye olmayan 
sistemle paylaşamamalıdır. 

»e Hersistem uygun bir dataset isim tablosu kullanmalıdır ((CARDSNT). 


»e Her sistem özdeş veri tabanı dizi tablosu (CHRRNG) kullanmalıdır. 
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2.7 RACFISPF paneli 


Eğer kuruluşta RACF panelleri tanımlanmışsa, güvenlik işlemleri bu panelden yapılabilir. 


RACF panellerine ISPF'in Ana Menüsünden ulaşılır. ISPF Ana Menüsünden R seçeneği ile 


CUSTOMPAC MASTER APPLICATION MENU 


RACF'e girilir. 
OPTION --——-> 
IS ISMF 
P PDF 
IP IPCS 
DI DITTO 
SM SMP/E 
IC ICSF 
OS SUPPORT 
OU USER 


BMR BMR READ 
BMI BMR INDX 


SCROLL ———> PAGE 


USERID - KAYHAN 
TIME — 16:43 


Interactive Storage Management Facility 
ISPF/Program Development Facility 

Interactive Problem Control Facility 

Data Interfile Transfer, Testing and Operations 
SMP/E Dialogs 

Integrated Cryptographic Service Facility 

Zz/0OS ISPF System Support Options 

Z/0S ISPF User Options 

BookManager Read (Read Online Documentation) 


BookManager Read (Create Bookshelf Indeş) 


R RACE — Resource Access Control Facility 
SD SDSEF —- System Display and Search Facility 
HC HCD — Hardware Configuration Definition 
X EXIT - Terminate ISPF using list/log defaults 
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2.8 RACF profilleri 


RACF kaynak profilleri 
RACE, veri tabanında profil olarak isimlendirilen kayıt bilgilerini tutar. Bu profilleri DASD ve 
teyp dataset'leri gibi dataset kaynaklarını korumak ve teyp volume'leri, terminaller gibi 


genel kaynakları korumak için kullanır. 


RACF — korumalı kaynaklar iki kategoriye ayrılır: 
e» Dataset'ler 


»e Genel kaynaklar. 


Genel kaynaklar class descriptor table'da tanımlanmış kaynakların tümüdür. Örneğin 
DASD ve teyp volume'leri, load modülleri (programlar), terminaller ve diğerleri. 

RACF, profil olarak isimlendirilen kayıt bilgilerini veri tabanında tutar. Bu kayıt bilgilerini 
DASD ve teyp dataset'leri, teyp volume'leri ve terminaller gibi pek çok genel kaynakları 
korumak için kullanır. Dataset profillerinde DASD ve teyp dataset'leri hakkında güvenlik 


bilgileri bulunur. 


Genel kaynak profillerinde genel kaynaklar hakkında güvenlik bilgileri bulunur. 

Her RACF — tanımlı kaynağın bir profili vardır. 

Genel kaynak profillerini oluştururken ya da değiştirirken, RACF komutları ya da RACF 
ISPF panelleri kullanılır. 


LIST komutları kullanılarak profillerin içerikleri listelenebilir. 
Komut Fonksiyon 


LISTDSD Dataset profillerinin içeriğini listeler. 


» Profilin sahibi 

e UACC 

» Profilin oluşturulduğu tarih 

»e Dataset'e erişmeye yetkili kullanıcılar ve gruplar 
» Dataset'e erişmeye en yüksek yetkili 

e güvenlik etiketi (eğer etiket kullanılıyorsa) 


» Diğerbilgi 
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Komut 


LISTGRP 


LISTUSER 


RACDCERT LIST 


Komut 


RACDCERT LISTRING 
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Fonksiyon 


Grup profillerinin içeriğini listeler. 


grup profilin sahibi 

en üst yetkili grup adı 
gruba bağlı kullanıcılar 
Altgrup isimleri 


Diğer bilgi 


Kullanıcıprofillerinin içeriğini listeler. 


profilin sahibi 

kullanıcı adı 

varsayılan grup adı 

kullanıcının bağlı olduğu gruplar 
Grup yetkileri 

parolanın son değiştirildiği tarih 


varsayılan güvenlik etiketi 


Sayısal sertifika bilgilerinin içeriğini listeler. 


Seri numarası 

Yayımcının görülebilir ismi 

Durum bilgisi 

Nesne ismi (256 byte'a kadar) 

Etiket 

Sertifikanın geçerli olduğu gün ve saat 

Sertifikanın geçerliliğinin biteceği gün ve saat 

Özel anahtar tipi 

Özel anahtar tipinin büyüklüğü 

Ring adı ve ring sahibinin içerdiği, anahtar ring 


işbirliği. 


Fonksiyon 
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Ring adı 

Sertifikaya atanmış etiket 

Sertifika sahibinin (ID si (ad), CERTAUTH ya da yer ) 
Ring içindeki kullanımı 


Ring içindeki varsayılan durumu 


Komut Fonksiyon 
RACDCERT LISTMAP Sertifika isminin filtreleme bilgisi. 


Sertifika isim filtresine atanan isim 

Güven durumu 

Yayımcının isim filtresi, eğer uygulanabilirse 
Öznenin isim filtresi, eğer uygulanabilirse 


Kriter bilgisi, eğer uygulanabilirse 


RACLINK LIST Kullanıcı ID iştiraklerinin listesi. 


İştirakin tipi 
Node ve kullanıcı ID 
Parola senkronizasyonunun olanaklı olup olmadığı 


İştirakin durumu 


RLIST Teyp volumeleri, DASD volumeleri ve terminaller gibi 


genel kaynak profillerin içeriğini listeler. 
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Profilin sahibi 

UACC 

Profilin oluşturulduğu tarih Parola 

Kaynağa erişmeye yetkili kullanıcılar ve gruplar 
Kaynağa erişmeye en yüksek yetkili 

güvenlik etiketi (eğer etiket kullanılıyorsa) 


Diğer bilgi 


105/525 


2.9 RACF Komutları 


İİ z | zSecure Admin | 


TSO/ISPF 


RACF 
Commands 


üzeri) 


RACF 
Commands 
* output 


Command Verifier 


RACF DB Manager 


RACF Policy 


a1 


RACF Data Base 


Her kaynak tipinin, kaynakları tanımlama, değiştirme, listeleme ve silme komut seti vardır. 


RACF komutlarının girileceği üç değişik yol vardır: 


» RACF TSO komutları 


Genel olarak kullanılan RACF komutlarının bir listesi aşağıdadır: 
» PASSWORD Parolayı ya da parola süresini değiştirmek için 
e CONNECİ kullanıcıyı gruba bağlamak için 
» REMOVE kullanıcıyı gruptan çıkarmak için 
» PERMİT kaynak profil erişim listesinde değişiklik yapmak için 
» SEARCH RACF bilgisinin yerini saptamak için 
» SETROPTS RACE sistem seçeneklerini seçmek ya da değiştirmek için 
» RVARY RACF veritabanlarını birbiriyle değiştirmek için 


Komutlar ve parametreler için kısaltmalar kullanılabilir: 
»e AU, ADDUSER:için 
»e LG, LISTGROUP:için 
e CO, CONNECİ için 
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» ID, USERİD için 
» AC, ACCESS için 
e INT, INTERVAL için 


RDEFINE FACILITY BPX.SUPERUSER UACC (NONE) 


PERMIT BPX.SUPERUSER CLASS(FACILITY) D(JANE) ACCESS(READ) 


» RACFISPF panelleri 
» RACF topluiş TSO komutları 


Çok sayıda kullanıcı ya da kaynak ile ilgili işlem yapılmak istendiğinde RACF TSO 
komutları toplu işe yazılıp, çalıştırılır. RACF komutlarının toplu işle nasıl çalıştırılacağını 


gösteren örnek aşağıda verilmiştir. 


Bu örnekte, VBTIST isimli bir grup ile ADEM ve AYNUR isimli kullanıcılar RACF'e 
tanımlanmaktadır. Ayrıca, VBTIST ile başlayan generic datasetler RACF'e tanımlanmakta 
ve bu dataset'lerden VBTIST.TARSUS.DATA dataset'ine ADEM kullanıcısının UPDATE 


yetkisi ile erişmesi sağlanmaktadır. 


//RACFCMD JOB (VBT), 'KAYHAN-z0OS13',CLASS-A, MSGCLASS—X, MSGLEVEL-(1,1), 


// NOTIF'Y—-&SYSUID, TIME-NOLIMIT, REGION-OM 


//STEPI EXEC PGMZ#IKJEFTO1, DYNAMNBR-20 


//SYSTSPRT DD SYSOUT-A 


//SYSTSIN DD * 
ADDGROUP VBTIST 


DDUSER (ADEM AYNUR) 


A 
ADDSD 'VBTIST.TARSUS.DATA' 
PERMIT 'VBTIST.TARSUS.DATA' ID(ADEM) ACCESS (UPDATE 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 107/525 


2.10 Kullanıcı kimliğinin doğrulanması 


RACF, sistemdeki değişik sistem kaynak yöneticilerine erişim talebi geldiğinde (örneğin 
TSO'ya logon olma) talepte bulunan kullanıcıların kimliğini saptar ve 


doğruluğunu kanıtlar. 


Kullanıcının kimlik doğrulanması 


logon user ID 


f | 
password / 
v i password phrase 
..— OlD CARD 


id 


a 


RACF DB 


RACF aşağıdaki koşullara göre karar verir: 


» Kullanıcı RACF'e tanımlı mı değil mi? 

» Kullanıcı geçerli bir parola ya da Pass Ticket, ya da kimlik kartı (OIDCARD) na 
sahip mi? 

»e Geçerli bir gruba dahil mi? 

» RACF 100 karakterden daha uzun parola cümlelerini destekler. 

»e Eğer kullanıcı bir USS kaynaklarına erişiyorsa o taktirde kullanıcının geçerli bir 
UID si ve GID (grup kimliği, bu bilgi /0S UNIX dosyaları için gereklidir) si olmak 
zorundadır. 

» Kullanıcı ID si REVOKE durumunda mı? bu durumda olan bir kullanıcı sisteme 
giremez. 

» Kullanıcı terminal erişimine yetkili mi değilmi? 


» Kullanıcı uygulama erişimine yetkili mi? 
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2.11 Kaynak yöneticileri 


Kaynağa erişim isteğinin doğrulanmasına bir bakış 


yetkilendirildikten sonra, RACF kaynaklara erişimi kontrol eder. Kullanıcı korunmuş 


kaynağa erişmeden önce RACF kullanıcının kaynağı önceden tasarlandığı şekilde 


kullanacağından emin olur (okuma, değiştirme, gün, zaman, vb.). 


#i Kullanıcılar RACF tarafından yetkilendirilirler 


&# RACF sistem güvenlik kontrol noktalarındaki, tipik olarak SAF arayüzlerini 


kullanarak kaynak yöneticileri tarafından uyarılır. 


& Örnek kaynak yöneticileri: 


DFSMS 
IMS 
CICS 

TSO 

DB2 


Unix System Services : Erişim ? 
sn Bi 

Console Services 

VTAM 


Bir kullanıcı kaynağa erişebildiği zaman RACF ayrıca gün ya da zaman bazında aşağıdaki 


gibi yetkiler verebilir: 


» Kullanıcı RACF - korumalı sisteme tanımlanmış ve kimliği doğrulanmıştır 


» Kullanıcı RACF - korumalı kaynakta değişiklik yapmak ister. 


» Kullanıcı kaynağa erişmek için sisteme bir komut gönderir. 


» Sistem kaynak yöneticisi talebi işleme koyar. 


» Kaynak yöneticisi kullanıcının kaynağa erişebilip erişemeyeceğini RACF'e “sorar”. 


» RACF, kullanıcının kaynağa erişip erişemeyeceğine ve eriştiğinde kaynakta 
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değişiklik yapma yetkisine sahip olup olmadığına karar vermek için profili kontrol 

eder. 

» RACF, inceleme sonuçlarını kaynak yöneticisine geri bildirir. 

» Kaynak yöneticisi, RACF 'in bulgularına dayanarak isteği ya geri çevirir ya da 
kabul eder. 


2.12 RACF Class'ları 


Her kaynağın bir class'ı vardır. Sisteme bir kaynak tanımlandığı zaman, bu kaynak RACF'e 
class ismi olarak tanımlanır. Class Tanımlama Tablosu (CDT), her genel kaynak class'ı için 
bir kayıt tutar. Her kayıtta, varsayılan UACC, profil adının yazım kuralı ve RACF bu class 
için yetkilendirmeyi kontrol edeceği zaman OPERATIONS kullanıcı niteliğinin hesaba 
katılıp katılmayacağı gibi pek çok bilgi bulunur. 


Yeni class ? 


i RACF Veritabanı 7 
—-3 


class - USER Program Geliştirici 


RACF Laboratuvar EYE RACEF Üretimornamı(XYz) 
-G 


Yeni class ! class - DATASET 


class - DASDVOL 
class - TAPEVOL 
class - XYZ 


” 


| - pe v 
— e Profil EE r— 
< Ürün 
—İ- ii 
RACF Yöneticisi 


X1Z Kullanıcısı 


Yukarıdaki resimde bir program geliştiricisi XYZ üretim ortamı için ürün geliştirdiğinde, bu 
ürünün kullanacağı kaynaklara erişim için RACF laboratuvarına başvurur. Laboratuvar 
ürünün kullandığı kaynakları RACF veri tabanından tespit eder, eğer yeni bir kaynak 
tanımlanacaksa, RACF yöneticisine başvurur, 


Yönetici kaynağı bir class'la (örneğin TERMINAL, KONSOL, DATASET) ve kaynak ismiyle 
kimliklendirir. RACF yöneticisi bir profil oluştururken, bu profili ilgili kaynak class'ı içine 
koyar. 
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Örneğimizde bu class'ın adı class Tanımlama Tablosunda veri tabanına XYZ class'ı olarak 
kayıt edilir. XYZ ürününü kullanan XYZ kullanıcısı XYZ class'ına EXECUTE, READ, 
UPDATE, CONTROL, ALTER gibi bir erişim yetkisi alır. 


Her genel kaynağın bir class tablosu vardır. Örneğin DB2 nesneleri (tablo, veri tabanı, 
view, kullanıcı tanımlı fonksiyon gibi) RACF genel kaynak class'larına uyar. DB2'nun 
yönetimsel yetkileri ise RACF genel kaynak class'ları içindeki profillerdedir. 


RACF'te class', Profil ve Erişimin nasıl tutulduğu aşağıdaki tabloda örnek olarak 


gösterilmiştir. 


MDSNTB | subsystem.owner.table. SELECT READ 


IBM tarafından sağlanan CDT'de aşağıdaki sınıflar tanımlanmıştır: 


APPCLU VTAM oturumunun kurulması sırasında ortak mantıksal birimlerin kimliğinin 
doğrulanması. 

APPCPORT Belirli bir LU'dan (APPC giriş bağlantı noktası) sisteme hangi kullanıcı 
kimliklerinin erişebileceğini kontrol etme. Ayrıca, belirli bir LU'dan sisteme giren kullanıcılar 
için kaynaklara koşullu erişim. 

APPCSERV Bir kullanıcı tarafından çalıştırılan bir programın belirli bir APPC işlem 
programı (TP) için sunucu olarak davranıp davranamayacağını kontrol etme. 

APPCSI APPC side bilgi dosyalarına erişimi denetleme. 

APPCTP APPC işlem programlarının kullanımını denetleme. 

APPL Uygulamalara erişimi denetleme. 

CBIND İstemcinin sunucuya bağlanma yeteneğini denetleme. 

CONSOLE MCS konsollarına erişimi denetleme. Ayrıca, bir MCS konsolundan girilen 
komutlar için diğer kaynaklara koşullu erişim. 

CSFKEYS şifreleme anahtarlarının kullanımını denetleme. 


CSFSERV şifreleme hizmetlerinin kullanımını denetleme. 
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DASDVOL DASD volume'leri. Mainframe'e bağlı disklere erişimi denetleme 

DEVICES Oo Aşağıdaki aygıtlara kimlerin allocation yapabileceğini denetlemek için z7/OS 
tarafından kullanılır: * Birim kayıt cihazları (yazıcılar) (yalnızca PSF, JES2 veya JES3 
tarafından tahsis edilir) 

Grafik device'lar (o (sedece VTAM tarafından allocate edilir) 

Teleprocessing (TP) veya iletişim cihazları (yalnızca VTAM tarafından tahsis edilir) 
DIRAUTH RACROUTE RECGUEST — DIRAUTH istekleri için log seçeneklerini 
ayarlama. Ayrıca, DIRAUTH sınıfı etkinse, kullanıcı TPUT makrosu veya TSO 
GÖNDERME veya LISTBC komutları aracılığıyla gönderilen bir ileti aldığında güvenlik 
etiketi yetkilendirme denetimi yapılır. Bu sınıfta profillere izin verilmez. 

DLFCLASS Veri inceleme özelliği. 

DSNR DB2© alt sistemlerine erişimi denetleme. 

FACILITY Oo Çeşitli kullanımlar. Profiller bu sınıfta tanımlanır, böylece kaynak yöneticileri 
(genellikle program ürünleri veya bileşenleri) kullanıcılar bir işlem yaptığında kullanıcının 
profillere erişimini kontrol edebilir. Örnekler katalog işlemleri (DFP) ve vektör tesisinin 
kullanımıdır. RACF, FACILITY sınıfında kullanılan tüm kaynakları diğer ürünler tarafından 
belgelendirmez. Belirli bir ürün (RACF dışında) tarafından kullanılan FACILITY sınıfı 
kaynakları hakkında bilgi için ürünün belgelerine bakın. 

FIELDS RACE profillerindeki field'lar (field seviyesi erişim kontrolü). 

GCSFKEYS CSFKEYS sınıfı için kaynak grubu sınıfı. 1 

GDASDVOL DASDVOL sınıfı için kaynak grubu sınıfı. 1 

GLOBAL Global erişim kontrol tablosu girişi. 1 

GSDSF SDSF sınıfı için kaynak grubu sınıfı. 1 

GTERMINL TERMİNAL sınıfı için kaynak grubu sınıfı. 1 

JESINPUT Bir JES giriş cihazı aracılığıyla sisteme girilen komutlar veya işler için 
koşullu erişim desteği. 

JESJOBS O İşlerin ismine göre gönderilmesini ve iptalini kontrol etmek. 

JESSPOOL JES spool'undaki (yani SYSIN ve SYSOUT data setleri) job data setlerine 
erişimi kontrol etme. 

NODLAR z/OS sistemlerinde aşağıdakilerin kontrol edilmesi: * İşlerin sisteme diğer 


node'lardan girmesine izin verilip verilmediği Diğer node'lardan sisteme giren 
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işlerin kullanıcı kimlik ve şifre doğrulama kontrollerini geçip geçmeyeceği 

NODMBR NODES sınıfı için üye sınıfı (RACF komutlarında kullanılmaz). 

OPERCMDS Operatör komutlarını kimlerin yayınlayabileceğini denetleme. PROGRAM 
sınıfı için 

PMBR Üye sınıfı (RACF komutlarında kullanılmaz). 

PROGRAM Kontrollü programlar (yük modülleri). 1 

PROPCNTL Kullanıcı kimliği yayılımının gerçekleşip gerçekleşemeyeceğini ve varsa, 
kullanıcı kimliklerinin (CICS veya IMS ana görev kullanıcı kimliği gibi) kullanıcı kimliği 
yayılımının gerçekleşmeyeceğini denetleme. 

PSFMPL PSF tarafından ayırıcı sayfa etiketleme, veri sayfası etiketleme ve kullanıcı 
tarafından yazdırılabilir alanın uygulanması gibi güvenlik işlevlerini gerçekleştirmek için 
kullanılır. 

PTKTDATA Passlicket Anahtar Sınıfı, güvenlik yöneticisinin RACF güvenli oturum açma 
gizli anahtarını, kullanıcı kimlik doğrulaması için RACF kullanan belirli bir ana bilgisayar 
uygulamasıyla ilişkilendirmesini sağlar. Bu tür uygulamalara örnek olarak IMS, CICS, TSO, 
VM ve APPC verilebilir. 

RACFVARS RACF değişkenleri. Bu sınıfta, & (ve işareti) ile başlayan profil adları, diğer 
RACF genel kaynak sınıflarındaki profil adlarında belirtilebilen RACF değişkenleri olarak 
işlev görür. 

RVARSMBR RACFVARS için üye sınıfı (RACF komutlarında kullanılmaz). 

SCDMBR (SECDATAsınıfı için üye sınıfı (RACF komutlarında kullanılmaz). 

SDSF Sistem Görüntüleme ve Arama Programı (SDSF) yetkili komutların 
kullanımını kontrol eder. Ayrıca bkz. GSDSF sınıfı. 

SECDATA Kullanıcıların ve verilerin güvenlik sınıflandırması (güvenlik düzeyleri ve 
güvenlik kategorileri). 1 

SECLABEL Güvenlik etiketleri kullanılıyorsa ve tanımları. 2 

SMESSAGE Bir kullanıcının hangi kullanıcılara mesaj gönderebileceğini kontrol etme 
(yalnızca TSO). 

SOMDOBJS İstemcinin class'ta çağırma yeteneğini denetleme. 

SURROGAT İş gönderme (submit) için bir Vekile izin verilirse hangi kullanıcı kimliklerine 
vekil olma yetkisi verilecek. 

TAPEVOL Oo Teyp volume'leri. 


TEMPDSN Kalan geçici veri kümelerine kimlerin erişebileceğini denetleme. Sen ca 
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2.13 RACF — Yöneticisi 


RACF yöneticisi kaynakları koruyabilmek için kaynak yöneticisinin tuttuğu RACF bilgisinin 
hangi class'ta olduğunu bilmelidir. Bu bilgi genellikle ilgili kaynak yöneticisinin 
başvuru kitabında bulunur. 


RACF yöneticisi RACF'te kullanıcı profillerini class USER'da, grup profillerini class 
GROUP'ta, dataset'ler için kaynak profillerini class DATASET'te ve teyp'ler için kaynak 
profillerini class TAPEVOL'de tanımlar. 

İlave class'lar tanımlamak da mümkündür. Bunu yapmak için Class Decsriptor Table da 


değişiklik yapmak ve değişiklik yapılan tabloyu aktif etmek gerekir. 


Not: class descriptor table dinamik olarak güncellenebilir. 
Class Descriptor Table (CDT) genel kaynakların işlenmesini yönlendirecek gerekli bilgileri 
tutar. RACF'e kaynak class adı DATASET, USER ya da GROUP'tan başka bir kaynak 


class adıyla başvuru olduğunda, RACF o taktirde Class Descriptor Tablosuna başvurur. 


Güvenlik yöneticisinin RACF'teki rolü 


» RACF sistem seçeneklerini düzenler 
» Kullanıcıları tanımlar 


» Gruplarıtanımlar 
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» Kaynak profillerini tanımlar. Kaynak profiller ikiye ayrılır: 
» Dataset'ler 
»e Genel kaynaklar 
e |SPF panellerini, RACF komutlarını, TSO komutlarını ve Konsol gibi seçimlik 
ilave ürünleri kullanır. 
Örnekler: 


» |SPF üzerinden RACF menüsünün kullanımı: 


VBT1I RACE - SERVICES OPTION MENU 
OPTION ——— 


SELECT ONE OF THE FOLLOWİNG: 
1 DATA SET PROFILES 
2 GENERAL RESOURCE PROFILES 
3 GROUP PROFILES AND USER-TO-GROUP CONNECTIONS 
4 USER PROFILES AND YOUR OWN PASSWORD 
5 SYSTEM OPTIONS 
6 REMOTE SHARING FACILITY 


7 DIGITAL CERTIFICATES, KEY RINGS, AND TOKENS 

99 EXIT 
Licensed Materials - Property of IBM 
5650-20S Copyright IBM Corp. 1983, 2015 
All Rights Reserved - U.S. Government Users 
Restricted Rights, Use, Duplication or Disclosure 
restricted by GSA ADP Schedule Contract with IBM Corp. 


» TSO ortamından RACF komutlarının girilmesi ve komut çıktısı: 


Menu List Mode Functions Utilities Help 
SSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSS 
ERP1I ISPF Command Shell 
Enter TSO or Workstation commands below: 


—-—> listdsd da('rexx.**') 


Place cursor on choice and press enter to Retrieve command 


—> listdsd da('rexx.**') 

-> sr all class(propcntl) 
-> sr all class(surrogat) 
-> rl tsoauth (jcl1) all 

—-> rl tsoauth (jcl) auth 

—> sr all class(tsoauth) 

-> sr all class(jesjobs) 

—> rl tsoauth (console) all 


» Komutçıktısı: 


INFORMATION FOR DATASET REXX.** (6G) 
LEVEL OWNER UNIVERSAL ACCESS WARNING ERASE 


00 IBMUSER READ NO NO 


AUDITING 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 115/525 


FAILURES (READ) 


NOTIFY 


NO USER TO BE NOTIFIED 
YOUR ACCESS CREATION GROUP DATASET TYPE 


ALTER SERD NON-VSAM 


NO INSTALLATION DATA 
*** 


Güvenlik yöneticisi SPECIAL niteliğine sahip bir kullanıcıdır. Ürünün kuruluşu 


sırasında güvenlik yöneticisinin hangi noktalara odaklanacağını planlamak için 


aşağıdaki hususların göz önüne alınması gerekir: 


Güvenlik yöneticisi hangi fonksiyonları ve bu fonksiyonları nasıl kullanacak? 
RACF korumasının seviyesi ne olacak? 

Hangi kaynaklar RACF'le korunacak? 

Yönetim yapısı nedir? ( merkezi mi, değil mi?) 


İsimlendirme kuralları nasıl olacak? 


2.14 RACF sistem seçeneklerini belirleme 


RACF'in sistem seçeneklerini seçerken hangi RACF fonksiyonlarının kullanılacağını ve bu 


fonksiyonların kuruluşu güvenlik hedeflerine ulaştırıp ulaştıramayacağına göre karar 


vermek esastır. Bu nedenle, güvenlik yöneticisi hangi sistem seçeneğini seçeceğini 


aşağıdaki soruları cevaplayarak belirlemelidir: 


» Bütün dataset'ler, dataset korumasına alınacak mı? 
» Hangi class'lar kaynak korumasına alınacak? 

» Grup yapısı nasıl olacak? 

»e Şeffaflık nasıl sağlanacak? 

» Kuralların RACF'e uyarlanması nasıl yapılacak? 

» Recovery (geri kurtarma) planı nedir? 

» Güvenlik ihlallerini tespit etme? 


» Hangi Alt sistemler kullanılacak? 
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» Networkler? 


» Veri paylaşımı? 


RACF sistem seçenekleri aşağıda gösterilen RACF menüsünde 5 numaralı seçenekte yer 


almaktadır: 


RACF -— SERVICES OPTION MENU 
OPTION ———> 


SELECT ONE OF THE FOLLOWİNG: 
1 DATASET PROFILES 
2 GENERAL RESOURCE PROFILES 
3 GROUP PROFILES AND USER-TO-GROUP CONNECTIONS 
4 USER PROFILES AND YOUR OWN PASSWORD 
5 SYSTEM OPTIONS 
6 REMOTE SHARING FACILITY 


7 DIGITAL CERTIFICATES, KEY RINGS, AND TOKENS 

99 EXIT 
Licensed Materials - Property of IBM 
5694-A01 Copyright IBM Corp. 1983, 2011 
All Rights Reserved - U.S. Government Users 
Restricted Rights, Use, Duplication or Disclosure 
restricted by GSA ADP Schedule Contract with IBM Corp. 


2.15 Kullanıcı kimliği tanımlama ve nitelikler atama 


Her kullanıcıya bir kullanıcı hesabı verilmesi, kuruluşun ana güvenlik hedeflerinden biri 
olmalıdır. RACF her kullanıcıya, özgün bir kullanıcı kimliği verir. Bir RACF kullanıcısı alfa 
numerik bir kullanıcı kimliği (kullanıcı ID) ile kimliklendirilir. Kullanıcı kimliğinin maksimum 
uzunluğu 8 karakterdir fakat TSO kullanıcısı için bu uzunluk 7 karakterdir. Bazı 
kullanıcıların özel görevleri olabileceği için bu kullanıcılara nitelikler (attribute) atanır. Bu 


niteliklerden bazıları şunlardır: 


SPECİAL sistem çapında yetkili güvenlik yöneticisi 
AUDITOR tüm güvenlik prensiplerini izlemekten sorumlu olacak kişi 


REVOKED sisteme girişine izin verilmeyecek kullanıcı kimliği 


Kullanıcı hakkındaki bilgi user profile'da tutulur. Bir kullanıcı tanımlandığında kullanıcının 
varsayılan grup isminin olması zorunludur. Her RACE kullanıcısı bir gruba ait olmalıdır, 


gruba ait olamayan kullanıcı en azından varsayılan gruba âit 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 117/525 


olmalıdır, ayrıca bir kullanıcı birden fazla grubun üyesi olabilir fakat grupsuz kullanıcı 


olamaz. Bundan başka user profile'ın bir sahibi olmalıdır. Normal olarak varsayılan grup 


ismine bu sahip (owner)'in ismi verilir. 


Grupların tanımlanması 


Bir RACF grubu erişim istekleri ortak olan kullanıcılar topluluğudur. Bir kullanıcı bir ya da 


daha fazla gruba ait olabilir. Grup bilgisi group profile'da tutulur. RACF'teki grup tipleri: 


Administrative groups 
Holding groups 
Data-control groups 
Functional groups 


User groups 


RACF kullanıcı kimliği ve doğrulama 


Kullanıcıyı kimliklendirme 


: Kullanıcı ID —< bir kullanıcıyı sisteme tanıtmak için kullanılan özgün 
karakterler dizisidir. 

: Kullanıcı kimliğinin özgün olması kullanıcıya kişisel sorumluluk yüklenmesine 
olanak sağlar 

* Sayısal Sertifika 

»: Kullanıcıyı Doğrulama 

: Kullanıcı tarafından bilinen bir şey yardımıyla — parola 


: Kullanıcının sahip olduğu bir şeyle — manyetik kart, akıllı kart, biometrikler 


» Kullanıcı doğrulamada kullanılacak RACF kurulum exit'leri çoğaltılabilir 
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RACF Kullanıcısı 
Genel olarak tüm kullanıcılar RACF'e tanımlanmalıdır. RACF'e tanımlanmayan kullanıcılar 
sistemi doğrulamasız sanal olarak kullanabilir, veriye yetkisiz olarak erişim teşebbüsünde 


bulunabilirler. Aşağıdaki kullanıcıların RACF'e tanımlanması gerekmektedir: 


» CICS, IMS, TSOJ/E, Netview 'un arayüz kullanıcıları, ya da login olmak için 
terminal kullanan diğer ürünlerin kullanıcıları. 

* Topluiş gönderen kullanıcılar 

* Başlatma prosedürleri 

* ZOS/MF kullanıcıları 


Kullanıcı Kimliği 


RACE, kullanıcısını kimliklendirmek için bir alfa numerik kullanıcı /D si kullanır. Kullanıcı ID 
kişiyi sisteme bir RACF kullanıcısı olarak tanıtır. Güvenlik açısından kullanıcı kimliği tek 
olmalı ve başka kullanıcılar tarafından paylaşılmamalıdır. Bu tek olma özelliği kullanıcı 


kimliğini kullanandan hesap sorma hakkını doğurur. 


Kullanıcı doğrulama 


Kullanıcı doğrulama için farklı teknikler vardır: 


* Sadecekullanıcının bildiği parola ve/veya parola cümlesi yardımıyla doğrulama: 
Sistemin kriptoladığı parola veya parola cümlesi sadece kullanıcının bildiği (güvenlik 
yöneticisinin bile bilmediği) karakter dizisidir. Doğrulama ya en fazla 8 karakter 
uzunluğunda bir parola ya da 9 ile 100 karakter uzunluğunda olan bir kaç kelimeden 
oluşturulmuş parola olabilir. Parola ya sadece büyük harf ya da büyük - küçük harf karışımı 
olabilir. 

* Sadecekullanıcının bildiği bir şey yardımıyla doğrulama: 


Bu doğrulama özgün (unigue) karakterli bir manyetik şerit kodlamalı kartın kullanımı ile 


yapılabilir ve 2//OS sistemindeki RACF'e bir kullanıcının kimliğini doğrulamak için kullanılır. 
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Not: Kullanıcı parolalarının ürün kurulumu sırasında tespit edilen belirli kuralları yerine 
getirmesi istenebilir. Örneğin, parola 5 karakterden uzun olmalı ve içinde hem alfabetik 
hem de nümerik karakterler karışık olarak bulunmalı gibi. 


Geçerli kullanıcılar 
Normal olarak RACF'e bir kullanıcı tanımlandığı zaman, bir kullanıcı ID ve geçici bir parola 
atanmış olur. Bazı istisnai durumlar için RACF KISITLAMALI ( RESTRIİCTED) 


parametreler temin eder. 


Kısıtlamalı kullanıcı kimliği ADDUSER ya da ALTUSER komutuyla bir kullanıcıya 
RESTRİCTED niteliği atanmasıyla tanımlanır. Kısıtlı kullanıcı kimliğine sahip kullanıcılar, 


özel olarak bir kaynağa erişme yetkisi almadıkça korunmuş kaynaklara erişemezler. 


Kısıtlı kullanıcılar için erişim yetkisi global erişim kontrolünden atlatılır. Ayrıca, kaynağın 
UACC ve erişim listesindeki ID(*) kayıdı da kısıtlı kullanıcının erişim hakkı kazanması için 


kullanıma geçemez. 


RESTRIİCTED niteliği, kullanıcıların belirli adımları yerine getirmeden, /0S UNIX file 


sistem kaynaklarına erişim kazanmasından, kullanıcıları engelleyemez. 


2.16 RACF kullanıcı profili 


Kullanıcı profili 
RACF bilgiyi kendi veri tabanında tutar. RACF her tanımlanan kullanıcı ID için USER 
class'ında bir kullanıcı profili tutar. Profil RACF 'in base segment'ini ve seçimlik olarak farklı 


kaynak yöneticileri ile ilgili bilgileri tutan ilave segmentleri oluşturur. 


RACF base segment 

RACF base segmenti aşağıdaki alanları içerir: 

User ID: Kullanıcı ID aynı zamanda profilin ismidir. 

Owner: Profilin sahibi (profili oluşturan) profili değiştirme yetkisine sahiptir. RACF'te her 
profil bir sahibe ihtiyaç duyar. 
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Password: parola girdisi tek yollu şifrelendirilmiştir. Parolayı deşifre imkânı yoktur. Eğer 
kullanıcı parolayı ya da parola cümlesini unutursa, yönetici kullanıcıya yeni bir geçici 
parola verir ve kullanıcı bir sonraki logon da bu parolayı değiştirmek zorundadır. 
attributes: Bu alan özel nitelikler içerir. SPECIAL, OPERATIONS ve AUDITOR nitelikleri 
sadece bir kaç seçilmiş kullanıcı ID'ye verilmiş olmalıdır. 

groups: Bir kullanıcı ID en azından kendi varsayılan grubuna üyedir, ancak birden fazla 


grubun üyesi olabilir. Bu alan kullanıcı ID'nin bağlı olduğu grupları gösterir. 


user ID attributes groups 


& classification 


owner | security | 


RACF- basic profile 


DFP CICS 


segment segment SPECIAL 


AUDITOR 
OPERATIONS 
REVOKE 
AUTHORITY 
CLAUTH 
WMEN 
RESTRICTED 
PROTECTED 
UAUDIT 


TSO 
segment 


| “Attributes 


profile expansions 


security classification: Veri ve kullanıcılar için güvenlik sınıflandırılmasının kullanılması 
güvenlik ürününün kurulumunda hassas kaynaklara erişimleri kontrol etmek için ilave 
olanaklar yüklenmesine olanak sağlar. Her kullanıcı ve her kaynak kendi profili içinde bir 
güvenlik sınıfına sahip olabilir. Bu güvenlik sınıfı aşağıdakiler arasından seçilebilir: 

»e Güvenlik seviyesi, güvenlik kategorileri, ya da her ikisi 

» Bakımı daha kolay olan güvenlik kategorileri ile güvenlik seviyelerinin bir bileşimi 

olan güvenlik etiketleri. 

Güvenlik seviyesi (SECLEVEL) kurulum sırasında belirlenen bir sayısal güvenlik 
seviyesine uygun düşen isimdir. (daha yüksek numara, daha yüksek güvenlik seviyesi 


demektir) 
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Örnek: 


Security Level Name Number 
IMPORTANT 10 
ROUTINE 75 
CONFIDENTIAL 150 


Güvenlik kategorisi (CATEGORY) ürün kurulumu sırasında bir bölüme ya da içinde benzer 
güvenlik gereksinimlerine ihtiyaç duyan kullanıcıların bulunduğu bir organizasyon sahasına 


uygun düşen isimdir. 


Sistem dört güvenlik seviyesine sahiptir: 

REG Registered (sistemde o andaki en yüksek güvenlik seviyesi) 

RES Restricted 

CON Confidential 

INT Internal 

Güvenlik etiketi (SECLABEL) kurulum sırasında tanımlanan bir güvenlik seviyesine ve sıfır 
ya da daha güvenli kategorilere uygun düşen bir isimdir. Bir kullanıcı güvenlik 
sınıflandırmasına sahip bir kaynağa erişim talebinde bulunduğunda, RACF kullanıcının 


güvenlik sınıfı ile kaynağın güvenlik sınıfını karşılaştırır. 


Önemli: RACF'de sahiplik çok önemlidir. Profilin sahibi (profili oluşturan) profile istediği 
her şeyi yapabilir. Profili silebilir ya da içeriğini değiştirebilir. Bu nedenle profil sahibi 


güvenlik ilke ve prensiplerine uygun kişilerden seçilmelidir. 
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2.17 RACF kullanıcı nitelikleri 


Kullanıcı nitelikleri - User attributes 


Kullanıcı nitelikleri, kullanıcıya ya sistem çapında ya da belirli bir grup ya da gruplara bağlı 
olarak atanabilen özel yetkiler, sınırlamalar, ya da ortamlardır. Bir nitelik sistem çapında 
atandığı zaman bütün sistemi etkiler ve bu niteliğe user attribute denir. Eğer bir nitelik 
sadece belirli bir grup ya da gruplara atanırsa o nitelik grup seviyesinde etkili olur ve bu 


özelliğe group-related user attribute denir. 


ADDUSER ya da ALTUSER komutunda verilen kullanıcı nitelikleri kullanıcının kullanıcı 
profilinde tutulur ve kullanıcının bağlı olduğu gruptan bağımsız etkiye sahiptir. Ancak 
CONNECT komutunda verilen nitelikler sadece bu grup için geçerlidir. Kullanıcı nitelikleri 


aşağıdaki gibidir: 


SPECİAL Sistem çapında SPECİAL niteliğine sahip bir kullanıcı bütün RACF komutlarını 


kullanabilir ve bu nedenle bu nitelik, sadece özel kullanıcılara, yöneticilere vb. verilir. 


Bu niteliğin verildiği kullanıcı RACF veri tabanında RACF profillerinin tümü üzerinde tam 
kapsamlı kontrol yetkisine sahiptir. SPECIAL niteliği grup seviyesinde de verilebilir. 
Kullanıcı group-SPECLIAL seviyesinde yetkilendirildiğinde, ait olduğu grup kapsamındaki 
profiller üzerinde tam kapsamlı kontrol yetkisine sahip olur. 

Not: SPECİAL nitelikli kullanıcılar bütün kaynaklara erişemezler, fakat bütün kaynaklara 


erişim için kendilerine verilen komutları kullanabilirler. 


AUDITOR DENETÇİ niteliği RACF güvenlik kontrollarını ve fonksiyonlarını denetlemekten 
sorumlu olacak kullanıcılara verilir. AUDITOR niteliği SPECIAL niteliğine sahip olanlardan 
başka güvenlik ya da grup yöneticilerine verilmelidir. 

AUDITOR niteliği grup seviyesinde verilebilir. Grup seviyesinde verildiğinde group- 


AUDITOR kullanıcısının yetkisi bu grubun alanıyla sınırlanır. 


OPERATIONS sistem çapında OPERATIONS niteliğine sahip bir kullanıcı, DATASET, 
DASDVOL, GDASDVOL, PSFMPL, TAPEVOL, VMBATCH, VMCMD, VMMDISK, 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 123/525 


VMNODE ve VMRDR sınıflarındaki tüm RACF - korumalı kaynaklara tam yetkili erişim 
yetkisine sahiptir. OPERATIONS niteliği grup seviyesinde verilebilir. Grup seviyesinde 
verildiğinde group - OPERATIONS kullanıcısının yetkisi bu grubun yetkisiyle sınırlanır. 


Not: OPERATIONS niteliği çok geniş bir aralıktaki kaynaklara erişim izni verebildiği için, bu 


nitelik çok dikkatli kullandırılmalı ve bu niteliğin atandığı kullanıcılar sık sık denetlenmelidir. 


REVOKE Bir RACF kullanıcısının sisteme girişi bu kullanıcıya REVOKE niteliği verilerek 
engellenebilir. Bu nitelik bir kullanıcının sisteme girişinin engellenmesi istenildiği zaman işe 
yarar. REVOKE niteliği CONNECT komutu kullanılarak grup seviyesinde verilebilir. Eğer 
kullanıcı bir gruba ait REVOKE niteliğine sahipse, kullanıcı bu belirli gruba bağlanarak ya 
da bu grubun bir üyesi olarak kaynaklara erişerek sisteme giremez. 


Not: RACF, kullanıcının ileri bir tarihte REVOKE olmasını sağlayabilir (Hem sistem 
seviyesinde hem de grup seviyesinde). Aynı zamanda REVOKE olmuş bir kullanıcının 
REVOKE niteliği ALTUSER komutunun RESUME operandı kullanılarak ileri bir tarih için 
kaldırılabilir. Örneğin bir RACF kullanıcısı geçici bir göreve gönderildiğinde gidiş ve dönüş 
tarihleri belirliyse kurumdan ayrıldığı tarihte REVOKE edilip, geçici görevden dönüş 
tarihinde RESUME edilebilir. 


CLAUTH CLAUTH niteliği, bir kullanıcıya, RACF'e tanımlı kaynakların class'ları için, 
profiller tanımlanmasına izin verir. Belirli classlar, kullanıcının yönetebileceği class'lar 
olarak atanmıştır. Dataset'lere profiller oluşturmak için, USER class'ı gereklidir. Belli bir 
class için, CLAUTH niteliğine sahip bir kullanıcı, başka bir kullanıcının bu class'a 
erişmesine izin verebilir. Kullanıcılar, CLAUTH niteliğini, class-by-class esasına dayanarak 
alırlar. CLAUTH niteliği kullanıcı ya da grup seviyesinde verilemez. Eğer 

kullanıcı bir class için CLAUTH niteliğine sahipse, RACF kullanıcıyı bu class'taki profile 


tanımlar. 


RESTRICTED ADDUSER ya da ALTUSER komutunda özelliğe RESTRICTED atanarak bir 


restricted ID tanımlanabilir. Restricted kullanıcı ID'ler korunmuş 
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kaynaklara erişemezler. RESTRICTED kimliği, kullanıcının kullanıcı ID'si erişim listesinde 
yer almadıkça korunmuş kaynağa erişmesine izin vermez. Erişim listesinde ID(*) kaydının 


olması ve UACC “restricted” kullanıcısına işlemez. 
PROTECTED Bu nitelik esas olarak started task'lar için kullanılır. 
WHEN Kullanıcının haftanın günleri ve günün saatlerinde sisteme erişmesi için kullanılır. 


NOPASSWORD Bu nitelik “korunmuş” kullanıcılara verilir, özellikle started prosedürlere 
NOPASSWORD kimliği verilir, çünkü started prosedürler sistem açıldığında çalışmaya 
başlarlar, sistem kapatılıncaya kadar çalışırlar. Bu kimliğe sahip olanlara parola 


sorgulaması yapılmaz. 


2.18 RACF kullanıcı segmentleri 


RACE segmenti: kullanıcının temel bilgisini tanımlar 
Diğer segmentler : diğer yazılımlar ile ilişkili bilgi (kaynak yöneticileri) 


segmentler ayrıca gruplar ve kaynaklar için de kullanılmaktadır. 


UN 


ACCTNUM OPIDENT 


COMMAND TMEOUT HOME 
PROC etc PROGRAM 
etc 


RACF'e bir kullanıcı tanımlandığında, RACF veri tabanında bir kullanıcı profili 
oluşturulmuş olur. Bir kullanıcı profili, RACF esas segmenti ve seçimlik olarak aşağıdaki 


segmentlerden her hangi birini içerir: 


CICS, DCE, DFP, LANGUAGE, LNOTES, NDS, NETVIEW, OMVS, OPERPARM, OVM, 
TSO ve WORKATTR. 
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Esas RACF segmenti kullanıcı, grup veya kaynak hakkında temel bilgileri içeren RACF 
profilinin parçasıdır. Kullanıcı profilinin esas segmentinde tutulan bilgilerden bazıları 
aşağıdadır: 

USERİD Kullanıcı kimliği 

NAME Kullanıcının adı 

OWNER Kullanıcı profilini oluşturan kullanıcı 

DFLTGRP Kullanıcının default grubu 

AUTHORITY Default gruptaki kullanıcının yetkisi 

PASSWORD Kullanıcının şifresi (tek yönlü şifrelenmiştir) 

PWD PHRASE Seçimlik birden fazla kelimeli şifre (tek yönlü şifrelenmiştir) 

REVOKE RACF'in bir kullanıcının sisteme erişmesini önleme tarihi 

RESUME RACF'in REVOKE ile sisteme girişini önlediği kullanıcının tekrar sistem girişine 
izin verdiği tarih 

UACC tanımlanmış kullanıcının kaynaklara default universal erişim yetkisi 

WHEN Sisteme erişen kullanıcının haftanın günleri ve günün saatleri olarak erişme izin 
süresi 

ADDCATEGORY Kullanıcının kurulum sırasında -tanımlanmış güvenlik kategorisi 
SECLEVEL Kullanıcının kurulum sırasında -tanımlanmış güvenlik seviyesi 

CLAUTH Kullanıcıya RACF tanımlama tablosuna tanımlanmış kaynakların class'ları için 


profiller tanımlanmasına izin verir. 


SPECIAL Kullanıcıya sistem genelinde SPECIAL (özel yetki) niteliği verir. RACF veri 
tabanındaki bütün RACF profilleri üzerinde tam yetkilidir. 


AUDITOR Kullanıcıya sistem genelinde AUDITOR (Denetçi) niteliği verir. AUDITOR niteliği 


kullanıcıya, RACF veri tabanındaki bütün profilleri görüntüleme hakkı verir. 
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OPERATIONS Kullanıcıya sistem genelinde OPERATIONS niteliği verir. DASDVOL, 
DATASET, DIRECTRY, FILE, GDASDVOL, PSFMPL, RODMMGER, TAPEVOL gibi 


class'lardaki, bütün RACF-korumalı kaynaklara tam yetkilidir. 


ADSP Kullanıcının tanımlamış olacağı RACF-korumalı nitel profile sahip bütün kalıcı 


dataset'leri gösterir 


GRPACC Kullanıcısının dataset profiliyle koruduğu herhangi bir grup datasetine 


erişebilecek diğer grup üyelerini gösterir 

MODEL Yeni bir dataset profili oluşturulduğu zaman kullanılan dataset profilinin adı 
SECLABEL Kullanıcının varsayılan güvenlik etiketi 

CERTNAME RACE kullanıcı kimliğiyle ilişkilendirilmiş DIGCERT class'ındaki profillerin adı 


CERTLABL Bu RACF kullanıcı kimliğiyle ilişkilendirilmiş DIGCERT class'ındaki sertifika 


etiketleri 
2.19 RACF kullanıcı ID'si ve parola 


Parola Yönetimi 


» Kullanıcıya kendi parolasını ya da parola cümlesini seçme izin verir 

» Kullanıcı parolasını yalnız kendi bilir 

» Kullanıcı yalnız kendi parolasını kullanır 

»e Güvenlik yöneticisi kullanıcının parolasını okuyamaz ancak parolayı yeniden 
tanımlar 

Parola ve parola kelimesi Kontrolü 

» Parola kullanım süresi, parolanın geçmişi, yazım kuralları, son kullanım günü 
ikazı, durdurma 

» Sonlogon mesajı 

»e Geçersiz girişimleri iptal etme 

» DES tek-yönlü şifreleme 


» EXIT — kontrol ya da şifreler üretme 
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RACF'te sisteme kullanıcı kimliklendirme, kullanıcı ID yoluyla gerçekleştirilir. Kullanıcı ID 
kullanıcıyı sisteme özgün olarak tanımlayan karakterler dizisidir. Aynı kullanıcı ID'ye sahip 
birden fazla kullanıcı olamaz. Bir RACF kullanıcı ID'si 1 — 8 karakter uzunluğunda 
olmalıdır, A-Z, 0-9, # (X'7B'), $ (X'5B'), veya © (X'7C") nin bir kombinasyonundan 


oluşabilir. 


Not Her ne kadar RACF kullanıcı ID sinin uzunluğunun 8-karaktere kadar olmasına izin 
verirse de TSO kullanıcı ID'leri ve JOB kartlarındaki kullanıcı ID'lerinin 7 karakterden uzun 
olamayacağı akıldan çıkarılmamalıdır. TSO ve MVS ayrıca kullanıcı ID'sinin ilk karakterinin 
A-Z, # (X'7B"), $ (X'5B") veya © (X'7C") olmasını gerektirir. #, $ ve © karakterlerinin bazı 


klavyelerde karşılıkları farklı olabilir. 


RACF'te kullanıcı kendi parolasını da seçimlik olarak parola cümlesini (password phrase) 
de kendisi seçer ve parolasının ne olduğunu sadece kendisi bilir. Eğer parolası ya da 
parola cümlesinin yenilenmesi gerekirse, güvenlik sorumlusu ya o parolayı varsayılan bir 
parola ile yeniler ya da kullanıcıya geçici bir parola verir. Bu durum normalde parola 
süresinin dolması durumunda olur ve böylelikle kullanıcı ilk logon olduğunda geçici 
parolayı yeni bir kalıcı parolayla değiştirmeye zorlanır. Değişik parola kuralları 
geliştirilebilir, parola kuralları SETROPTS komutu yardımıyla ya da ISPF RACF 


panellerinden belirlenir. Parola kurallarından bazı örnekler aşağıdadır: 


» Bir parolanın geçerlilik süresi gün olarak belirlenebilir; 

» Kullanıcının yeni parola seçeceği zaman geçmişte kullandığı eski parolalarını tekrar 
kullanması önlenebilir, 

» Kaç defa hatalı parola girerse sisteme girişinin iptal edileceği yani REVOKE olacağı 
kurala bağlanabilir, 

» Parolanın son kullanma tarihi gelmeden önce kaç gün öncesinden kullanıcının 
uyarılacağı belirtilebilir, 


» Parolada hangi karakterlerin büyük — küçük harf, rakam olacağı belirlenebilir. 


Parola cümleleri için yazım kuralları doğrudan kodludur “hardcoded” fakat bir exit 


yardımıyla kontrol edilebilir. Parola ya da parola cümlesi DES algoritması kullanılarak 
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tek yönlü şifrelenir. Kullanılan anahtar parolanın kendisidir. Şifrelenmiş parola ya da parola 


cümlesi kullanıcı profilinde saklanır. 


2.20 RACF'e yeni bir kullanıcı eklemek 


RACF'e kullanıcı eklemenin bir den fazla yöntemi vardır, bu yöntemlerden biri TSO 
komutlarını kullanmaktır, yalnız bu komut kullanılacağı zaman komutu kullanacak kişinin 
OPERCMDS class'ında uygun kaynağa erişim yetkisinin olması gerekir. 

Örnek 1 

IBMUSER kullanıcısı PAJ555 kullanıcı kimliğiyle bir kullanıcıyı RACF'e tanımlamak ve bu 
kullanıcıyı SYS1 grubuna atamak istiyor. Bu işlem için IBMUSER kullanıcısı SYS1 grubuna 
JOIN etme yetkisine ve USER class'ı için CLAUTH yetkisine sahip olmalıdır. 

Bu işlem için verilmesi gereken komut şu şekildedir: 


Menu List Mode Functions Utilities Help 
SSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSS 


ISPF Command Shell 


Enter TSO or Workstation commands below: 


-——> ADDUSER (PAJ555) NAME('TUNA TURK') PASSWORD (PASSWORD) 


OWNER (IBMUSER) DFLTGRP(SYSI) AUTHORITY (USE) UACC(NONE) NOGRPACC NOADSP 


NOSPECTIAL NOOPERATIONS NOCLAUTH NOAUDITOR NOOIDCARD 


Place cursor on choice and press enter to Retrieve command 


Bir kullanıcı RACF'e tanımlandıktan sonra, kullanıcı bilgilerini kontrol etmek için listuser 


komutu kullanılır: 


ISPF Command Shell 


Enter TSO or Workstation commands below: 
---> listuser PAJ555 


USER-PAJ555 NAME-TUNA TURK OWNER-IBMUSER CREATED-14.141 
DEFAULT-GROUP-SYSI PASSDATE-00.000 PASS-INTERVAL- 30 PHRASEDATE-N/A 
ATTRIBUTES—NONE 
REVOKE DATE—NONE RESUME DATE—NONE 
LAST-—ACCESS—UNKNOWN 
CLASS AUTHORIZATIONS-NONE 
NO-INSTALLATION-DATA 
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NO-MODEL-NAME 


LOGON ALLOWNED (DAYS) (TIME) 
ANYDAY ANYTIME 
GROUP-SYSI AUTH-USE CONNECT-OWNER—IBMUSER CONNECT-DATE-14.141 
CONNECTS- 00 UACC-NONE LAST—CONNECT—UNKNOWNN 


CONNECT ATTRIBUTES—NONE 

REVOKE DATE—NONE RESUME DATE—NONE 
SECURITY-LEVEL—NONE SPECİFTIED 
CATEGORY-—AUTHORIZATION 
NONE SPECİFTIED 
SECURITY-LABEL-NONE SPECİFTIED 


#XX 


RACF TSO komutunu arka planda bir batch job ile vererek de kullanıcı tanımı yapılabilir: 
Aşağıdaki örnek bir batch job olarak arka planda TSO komutu ile nasıl kullanıcı 
tanımlanacağını göstermektedir: 


//ADDUSER JOB (VBT), 'KAYHAN-z0S13',CLASS-A, MSGCLASS-X, MSGLEVEL-(1,1), 
// NOTIFY-&SYSUID, TIME-NOLIMIT, REGION-OM 


//STEP1 EXEC PGM-IKJEFTO1,DYNAMNBR-20 
//SYSTSPRT DD SYSOUT—A 
//SYSTSIN DD * 
ADDGROUP SYSI 
ADDUSER (PAJ555) 
/* 
Örnek 2 
ADDUSER komutunun kısaltılmışı AU dur. Kullanıcı tanımı yapılırken parola 
belirtilmemişse, kullanıcının default grubundaki isim geçici parola olur ve ilk logonda 
kullanıcının bu parolayı değiştirilmesine zorlanır. ADDUSER komutunun çok fazla işleneni 


vardır. Bu işlenenlerden en temel olanları bu kitapta açıklanmıştır. 


AU AKAYA OWNER(ISMAIL) DELTGRP (PROJB) NAME('AYSE KAYA 1IST') 
USER-AKAYA NAME-AYSE KAYA IST OWNER-ISMAIL CREATED-98 .173 
DEFAULT-GROUP-PROJB PASSDATE-03.239 PASS-INTERVAL- 30 PHRASEDATE-N/A 
ATTRIBUTES-NONE 

REVOKE DATE-NONE (O RESUME DATE-NONE 

LAST-ACCESS-03.239/09:30:35 

CLASS AUTHORIZATIONS-NONE 

NO-INSTALLATION-DATA 

NO-MODEL-NAME 

LOGON ALLOWNED OO (DAYS) (TIME) 
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ANYDAY ANYTIME 

GROUP-PROJB AUTH-USE CONNECT -OWNER-ISMAIL CONNECT-DATE-98.173 
CONNECTS— 2,013 UACC—NONE LAST-CONNECT-03.239/09:30:35 

CONNECT ATTRIBUTES—-NONE 

REVOKE DATE-NONE O RESUME DATE-NONE 


KULLANICI 
ID OWNER PASSWORD NAME DEFAULT GROUP/AUTHORITY 
GROUP 


AKAYA ISMAIL PROJB AYSE KAYA | PROJB PROJB/USE 
IST 


2.21 Kullanıcı parolasını yenilemek 


Kullanıcı parolasının yenilenmesi iki durumda gerekebilir: 


1. kullanıcı parolasını unutmuştur (ya da parolasını değiştirmek isterken art arda hata 
yapıp parolasını REVOKE duruma düşürmüştür) 
2. Kullanıcı ID'si bazı sebeplerden REVOKE duruma düşmüş olabilir. 
& Kullanıcı parolasını değiştirmeden önce kullanıcının nitelikleri listelenir: 
LISTUSER PAJ555 
© RACF ISPF panelleri kullanılarak parolalar yenilenebilir fakat komut kullanarak 
parola yenilemek daha kolaydır: o aşağıdaki komutlardan biri kullanılarak 


parola yenilenir: 
ALU PAJ555 RESUME PASS(NEW PASSWORD) -> Eğer REVOKE olmuşsa 
ALU PAJ555 PASS(new password) -> Eğer REVOKE olmamışsa 
ALU PAJ555 PASS/(new password) NOEXPIRED -> Eğer REVOKE olmamışsa 


Aşağıdaki örnekte SERAFE kullanıcısının ATTRIBUTE'una dikkat edilirse, bu kullanıcı 


REVOKE durumundadır, bu kullanıcının parolası yenileneceği zaman; 


ALU SERAFE RESUME PASS(NEW PASSWORD) komutu kullanılmalıdır. 


USER—SERAFE NAME-SERAFETTIN ES OWNER—EVRAK CREATED-01.183 
DEFAULT-GROUP-EVRAKGRI PASSDATE-00.000 PASS-INTERVAL- 30 PHRASEDATE-N/A 
ATIRIBUTES-REVOKED 
REVOKE DATE-NONE RESUME DATE—NONE 


LAST-ACCESS-01.183/17:11:46 


CLASS AUTHORIZATIONS—NONE 
NO-INSTALLATION-DATA 

NO-MODEL-—NAME 

LOGON ALLOWED (DAYS) (TIME) 
ANYDAY ANYTIME 
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Ayrıca kullanıcının parolası değiştirilirken kullanıcının bir sonraki logon sırasında parolayı 
değiştirip değiştirmeyeceği de belirtilebilir. Bu işlem EXPIRED ya da NOEXPIRED ifadesi 
yazılarak yapılır. Varsayılan EXPIRED dır. 


EXPIRED 
Kullanıcının parolası değiştirildiğinde bir sonraki logon sırasında kendisine verilen 
geçici parolayı değiştirmesi gerekli. 
EXPIRED ifadesi sadece PASSWORD ya da PHRASE ifadesi kullanıldığında 
geçerlidir. 

NOEXPIRED 
Kullanıcının parolası değiştirildiğinde bir sonraki logon sırasında kendisine verilen 
geçici parolayı değiştirmesi gerekli değil. 
Ayrıca bir kullanıcının parolası değiştirilirken NOINTERVAL ifadesi kullanılırsa, bu 


kullanıcının parolası hiç bir zaman, zaman aşımına uğramayacak demektir. Bu komutu 
ancak SPECİAL niteliğine sahip bir kullanıcı verebilir. 
PASSWORD INTERVAL USER(MARTIN) 
ISPF panellerinden parola değiştirme 
ISPF panellerinden bir kullanıcının parolasını değiştirmek için aşağıdaki adımların 
izlenmesi gerekir: 
e |SPF Primary Option Menu 
» RACF (select RACF from the primary ISPF menu) 
» RACF - Services Option Menu 
e User Profiles and Your Own Password 


» RACF - User Profile Services 
» CHANGE (and enter target userid in the USER field) 


RACF - CHANGE USER SERAFE PASSWORD RELATED FIELDS 
COMMAND ———> 


use a default PASSWORD 
or change PASSWORD (case sensitive) 
———> <e—— User's password 
>-—> <2 Re-enter password to verify 


NOPHRASE to clear the current PHRASE 
or change PHRASE (case sensitive) 
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<s-- Up to 100 characters in guotes 


<--- Re-enter phrase to verify 
EXPIRED YES to mark new password and phrase as expired? 
INTERVAL | 1 - 254 days, NO, or blank 
REVOKE o o O YES, NO, mm/dd/yy (date) or blank 
RESUME 0 YES, NO, mm/dd/yy (date) or blank 
Bu ekranda; 
NOPASSWORD to clear the current PASSWORD 
or change PASSWORD (case sensitive) 
——-> <ss- User's password 
>--> <sE— Re-enter password to verify 


—- <-- İşaretlerinin arasındaki alana yeni parola girilir. Parola 1 — 8 uzunluğunda 


karakter ya da rakam olabilir. Doğrulamak için, aynı parola iki kez girilmelidir. 


Eğer default parola seçeneği işaretlenirse, parola kullanıcının default grup adı olur. 
EXPIRED : Bu anahtar kelime parola ya da parola cümlesinin bir sonraki kullanımda sona 
ereceğini (expire olacağını) gösterir. ALTUSER komutunda PASSWORD ya da PHRASE 


anahtar kelimesi ile kullanıldığında uygulanabilirdir. 


YES kullanıcı parolasının yada PASSWORD anahtar kelimesi tarafından atanan 
varsayılan (default) parolanın expire olacak diye işaretlenmesini sağlar. Bu 
kullanıcının bir sonraki logon sırasında parolasını yenilemelidir. Böylece oORACF 
komutuyla ya da RACF ekranından girilen parola sadece kullanıcının bildiği 
parolaya dönüşmüş olur. 
NO Kullanıcı parolasının bir sonraki logonda değiştirilmeyeceğini gösterir. Hiçbir 
zaman expire olmayacağını göstermez. 
Eğer parolanın hiç expire olmaması istenirse, o Zaman PASSWORD komutunda 
NOINTERVAL anahtar kelimesi | kullanılır. 


INTERVAL : parola ya da parola cümlesinin belirtilen gün sayısından (1 - 254) sonra 
değişmesi gerektiğini gösterir. RACF sistemi kurulurken bu değerin varsayılanı 30 gündür. 


NO parola ya da parola cümlesinin hiç expire olmayacağını gösterir. 
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REVOKE 
YES seçeneği kullanıcının sisteme bir sonraki logonunda sistemin kullanıcıyı 
yasaklayacağını, logon olmasına izin vermeyeceğini gösterir. 


NO seçeneği kullanıcının revoke tarihinin silineceğini belirtir. 
Bir tarih Belirtme Belirtilen tarihte kullanıcının sisteme girmesini yasaklar. 


RESUME 
YES kullanıcının sisteme erişmesine izin verir. 


NO kullanıcının resume tarihini siler. 
Bir tarih Belirtme Belirtilen tarihte kullanıcının sisteme girmesine izin verir. 


NOT : DATE alanının formatı mm/dd/yy dir, burada mm ay, dd gün ve yy yıldır. 


2.22 Kullanıcı ID'yi değiştirmek 

Kullanıcının sistem kapsamlı niteliklerinin ve yetkilerinin içeriğini ve kullanıcı profilindeki 
bilgileri değiştirmek için ALTUSER komutu kullanılır. Kullanıcı profili bir RACF 
segmentinden ve isteğe bağlı olarak da TSO segmenti ya da DFP segmenti gibi daha 


başka segmentlerden meydana gelir. 


ALTUSER komutu kullanıcı profilinin her hangi bir segmentindeki bilgiyi değiştirmek için 
kullanılabilir. Aşağıdaki örnekte TARIK kullanıcısına AUDITOR niteliği verilmek istensin. 


TARIK kullanıcısının ATTRIBUTES'i NONE iken aşağıdaki komutla AUDITOR niteliği 
verildiğinde ATTRIBUTES'i AUDITOR'e dönüşür. 


ALTUSER TARIK AUDITOR 


Bu komut AUDITOR niteliğini TARIK kullanıcı ID'sine verir. 


USER-TARIK NAME-TARIK TUNCER BIM OWNER—KAYHAN CREATED-O1.054 


DEFAULT-GROUP>GENELGR PASSDATE-10.096 PASS-INTERVAL- 30 PHRASEDATE-N/A 


ATTRIBUTES-AUDITOR 


REVOKE DATE—NONE RESUME DATE—NONE 


LAST-ACCESS-10.102/00:18:12 
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CLASS AUTHORIZATIONS—NONE 


NO-INSTALLATION-DATA 


NO-MODEL-NAMF 


LOGON ALLOWED (DAYS) (TIME) 


ANYDAY ANYTIME 


2.23 Bir kullanıcının parola süresini değiştirmek 
Tüm kullanıcıları kapsayan (Global) parola değiştirme süresinden farklı olarak tek bir 
kullanıcının parola değiştirme süresi gün olarak değiştirilebilir. Kullanıcının parola 


değiştirme süresi Global parola değiştirme süresinden büyük olamaz. 


Aşağıdaki örnekteki kullanıcının sisteminde Global parola seçenekleri şöyledir: 


PASSWORD PROCESSİNG OPTIONS: 
PASSWORD CHANGE INTERVAL IS 30 DAYS. 


PASSWORD MINIMUM CHANGE INTERVAL IS 0 DAYS. 
MIXED CASE PASSWORD SUPPORT IS NOT IN EFFECT 

NO PASSWORD HISTORY BEING MAINTAINED. 

USERIDS NOT BEING AUTOMATICALLIY REVOKED. 

PASSWORD EXPIRATION WARNING LEVEL IS 3 DAYS. 

NO INSTALLATION PASSWORD SYNTAX RULES ARE PRESENT. 


Burada PASS-INTERVAL-N/A olan kullanıcılar dışındaki tüm kullanıcılar her 30 günde 
parolalarını değiştirmek zorundadırlar. Parola minimum değiştirme süresi ise 
(PASSWORD MINIMUM CHANGE INTERVAL) hiç bir kullanıcının parolasını belirtilen 
günden daha sık değiştiremeyeceğini belirtir, default olarak bu değer 30 gündür, yani hiç 
bir kullanıcı parolasını 30 günden önce değiştiremez demektir. MINCHANGE(0) kullanıcıya 


parolasını günde bir seferden fazla değiştirebilme izni verir. 


Aşağıdaki kullanıcının parola değiştirme süresi PASS-INTERVAL — 30 gündür. PASSDATE 
tarihinden itibaren 30 gün sonra kullanıcının parolasını değiştirmesi gerekir. 


USER-TARIK NAME-TARIK TUNCER BIM OWNER-KAYHAN CREATED-O1.054 
DEFAULT-GROUP-GENELGR PASSDATE-10.096 PASS-INTERVAL- 30 PHRASEDATE-N/A 
ATTRIBUTES-AUDITOR 

REVOKE DATE—NONE RESUME DATE—NONE 


Sadece bu kullanıcının parola değiştirme süresini 30 günden 15 güne indirmek istersek; 
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Parola süresini değiştirme komutu: 


PASSWORD USER(TARIK) INTERVAL(15) 


Bu komut verildikten sonra tekrar kullanıcı nitelikleri listelenip, komutun işlemi yerine 
getirdiği kontrol edilmelidir. 


LISTUSER TARIK 


USER-TARIK NAME-TARIK TUNCER BIM OWNER—KAYHAN CREATED-O1.054 


DEFAULT-GROUPXGENELGR PASSDATE-10.096 PASS-INTERVAL- 15 PHRASEDATEX—N/A 


ATTRIBUTES-AUDITOR 


REVOKE DATE—NONE RESUME DATE—NONE 


PASS-INTERVAL değeri 15 gün olarak değiştirildiği için, TARIK kullanıcısı 15 gün sonra 


parolasını değiştirmek zorundadır. 


2.24 Kullanıcı ID silmek 
Bir kullanıcıyı RACF'ten silmek için DELUSER komutu kullanılır. Bu komut kullanıcının 


bütün kullanıcılarla olan user-to-group bağlantılarını ve kullanıcının profilini tanımlardan 
çıkarır. (CONNECT profili kullanıcının değişik RACF gruplarıyla olan bağlantılarını 
tanımlar). Bununla beraber RACF veri tabanında kullanıcının kullanıcı ID sinin görüldüğü 
başka yerler olabilir, DELUSER komutu kullanıcı ID yi her yerden tamamen silmez. 
Sahipsiz profiller kesinlikle olamaz. Sahibin varsayılanı yoktur, bu nedenle kullanıcı 
silinmeden önce onun sahipliği araştırılmalıdır. Özellikle, kullanıcı bir grubun, bir kullanıcı 
profilinin, bir dataset grubunun sahibi idiyse, ya da her hangi bir kaynağın erişim listesinde 


yer alıyorduysa. 


DELUSER komutunu vermeden önce REMOVE komutuyla silinecek kullanıcının grup, 
kullanıcı profili, dataset grubu sahipliğine yeni bir sahip atayarak değiştirmek için REMOVE 


komutu verilmelidir. 


Kullanıcı silme komutu DELUSER AHMET 
Kullanııcı listelendiğinde listuser AHMET 


UNABLE TO LOCATE USER ENTRY AHMET 
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DELUSER komutunun kullanılabilmesi için aşağıdakilerden en az birinin doğru olması 
gerekmektedir: 

»e Komutu verecek kişi SPECİAL niteliğine sahip olmalı 

» Silinecek kullanıcı profili, group-SPECIAL niteliği olan silecek kişinin bulunduğu 


grupta olmalıdır. 


Silmeyi yapacak kullanıcı silinecek kullanıcı profilinin sahibi olmalıdır. 


2.25 Kullanıcıyla ilgili diğer RACF komutları 


Yedek Veritabanı | 


ASIL Veritabanı 


ADDUSER Bir kullanıcı profilini RACF'e ekler. 

ALTUSER (Bir kullanıcının RACF profilini değiştirir. 

CONNECT Bir kullanıcıyı bir gruba bağlar. 

DELUSER Bir kullanıcı profilini RACF'ten siler ve bir grupla olan bağlantısını 


REMOVE Bir kullanıcıyı bir gruptan çıkarır ve çıkarılan kullanıcının bir grupla sahipliği 


varsa bu sahipliği yeni bir kullanıcıyla değiştirir. 
LISTUSER Bir kullanıcının profilindeki bilgileri gösterir. 
PERMIT Bir kullanıcının bir kaynağa erişmesine izin verir. 


PASSWORD Bir kullanıcının parolasını değiştirir 
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2.26 RACF grupları 


& Grup — kullanıcılar topluluğu 
» Herkullanıcı bir (ya da daha fazla) grubun üyesidir 
» Gruplar bölüm, organizasyon, fonksiyon, ürün, vb.nin karşılığı olabilir 


» Birbiriyle ilişkili gruplardan sonuçta ortaya "ağaç" yapısı çıkar 


& Grup avantajları: 


» Yönetim zahmetini azaltır 
»e Yetki yönetimini delegelere atayarak merkezden yönetilmemeye 


(sorumluluğun dağıtılmasına) izin verir 


Bütün RACF sistemlerinde ağaç yapısının en üstünde SYS1 Grubu vardır. RACF grup 
ağacı, SYST in ağacın kökü, diğer RACF gruplarının ise “dallar” olduğu baş aşağı çevrilmiş 
bir ağaç gibi düşünülebilir. Her RACF grubunun hem sahibi ve hem de üst grubu vardır. 
Bazı RACF grupları bir ya da daha fazla alt-gruplara da sahip olabilir. 


IBM 7/OS 1.2 sürümünde RACF ile IBM RACF UNIVERSAL grubu tanıtmıştır. RACF 
UNIVERSAL grup, Standart RACF grubundan bazı farklılıklara sahiptir. RACF 
UNIVERSAL grup, bu gruba bağlanan sınırsız sayıda AUTH(USE) kullanıcılarına sahiptir 
ve AUTH(USE) kullanıcıları GROUP-AUDITOR, GROUP-OPERATIONS, ya da GROUP- 
SPECİAL haklarına sahip olamaz. 


RACF UNIVERSAL grubunu oluşturmak için kullanılan komut: 


ADDGROUP ugroup UNIVERSAL 
Burada “ugroup” RACF ortamına katılacak grubun adıdır. 


RACF aşağıdaki grup tiplerine sahiptir: 


Yönetimsel (Administrative) Büyük organizasyonlarda yetkilerin tek elde toplanmasını 
önlemek ve yönetimi daha kolay ve hızlı yapmak için tamamen yönetimsel amaçlı bir grup 
oluşturulabilir. Örneğin her bölgeyi ya da her bölümü bir organizasyon varlığı olarak temsil 


ederek gruplar oluşturulur. Her grubun yönetimi 
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RACF ile delege edilerek, yönetimsel bir grup oluşturulmuş olur. Grup yöneticileri daha 
sonra kendi yerel kullanıcılarının ihtiyacı olan diğer grupları tanımlayarak pek çok grupları 


faaliyet alanlarına alabilirler. 


Aşağıdaki şekilde gösterildiği gibi örgütlenmiş bir organizasyonda her kutu içindeki bölüm 


bir grup olarak tanımlanabilir. 


, 4 


Finansman Personel Üretim Pazarlama 
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Holding kullanıcı tanımlarını merkezi olarak tutan bir tekniktir, buna rağmen grup 
yöneticilerinin bir holding grup oluşturarak grup yönetmelerine izin verir. Bütün kullanıcılar 
merkezi ve başlangıç olarak minimum yetkisi olan ve HOLD olarak isimlendirilen bir gruba 
bağlı olarak tanımlanırlar. HOLD herhangi bir erişim listesinde görünmez ve bu yüzden 
kullanıcı için bir önemi yoktur. Holding gruplar pek çok amaca hizmet ederler ve daha çok 
bazı işlemler sırasında kullanıcı ID ler için geçici bellek olarak kullanılırlar — örneğin bir 
kullanıcı ID'sinin RACF ağacının yeni bir kısmına taşınmasında Holding grup kullanılabilir. 
Bazen kullanıcı ID'lerden ayrı olarak kaynakların geçici sahipleri olarak kullanılmaları 


faydalıdır. 


Holding gruplar tipik olarak kaynaklara imtiyazlı erişmezler ve grup ağacı kollarının en 


altında yer alırlar, genellikle alt grupları yoktur 


Data Control Data Control Group MVS dataset'lerine özgü bir gruptur. Verinin korunması 
için bir kontrol noktası olarak davranacak bir grup oluşturulabilir. Örneğin, SYS1 grubu 
kullanılarak, hangi kullanıcıların SYS1 dataset'lerini koruma iznine sahip oldukları 
belirlenebilir. Bu grupta sistem dataset'lerini sadece CREATE ya da daha yüksek yetkiye 


sahip kullanıcılar koruyabilirler. 


Fonksiyonel Fonksiyonel gruplar veri paylaşım maksatlı olarak kuruluşun belli bir 
fonksiyonel alanını belirtebilirler. Bir mali analist, kuruluşundaki muhasebe, bordro, 
pazarlama gibi pek çok grubun değişik kaynaklarına erişmek isteyebilir. Bu durumda her 
grup sahibinin, analistin kullanıcı ID'sini erişim listesine koyarak, mali analiste kendi 
kaynaklarına erişmesi için izin vermesi gerekecektir, ancak yeni bir mali analist işi 
devraldığında, bu defa her bir RACF profiline yeni kullanıcı ID'yi eklemek gerekecektir. 
Ayrıca analist artık veriye erişmeyecek bile olsa RACF profilleri bu kullanıcı ID'siyle 


güncellenmiş olacaktır. 


Böyle bir düzenleme kaynak sahiplerine gereksiz büyük bir iş yükü getirir. Bunun yerine 
mali analist için grup içindeki erişeceği veriye erişim izni tanımlanmış ve mali analist 
fonksiyonlarını tarif eden bir grup tanımlamak daha verimli olur, böylece kişi bazlı değil 
fonksiyon bazlı bir grup oluşturulmuş olur. Tanımlanan gruptaki kullanıcı yoğunluğuna 


bakılarak tüm veri aralığına erişim kontrol edilebilir. Tek seferlik erişim 
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durumlarında, erişilecek verinin sahipleri, erişim isteyen kullanıcıya, tanımlanmış grup 
yardımıyla sadece erişim izni vermiş olacaklardır. Uygun durumlarda, grup adı mali analist 
grubunun istediği veriyi otomatik olarak getirmesi için profil erişim listelerine dâhil 
olabilecektir. Yeni gelen mali analistler tüm veri aralığına erişmek istediklerinde, kendilerine 
gereken süre kadar, gruba bağlanmış olacaklardır. Aynı şekilde, analistler gerektiğinde 
gruptan ayrılabileceklerdir. Bu tür bir fonksiyonel grubun kullanım yoğunluğunun kontrol 


edilmesiyle, günü gününe kaynak profili değiştirme gerekliliği de ortadan kalkmış olacaktır. 


User Başka türlü hiç ortak erişim gereksinimleri olmayan kullanıcılar için dayanak (çapa) 
noktası olarak görev yapacak bir grup tanımlanabilir. Örneğin, problem — çözümleyici 
kullanıcılar, mühendisler ve bilim adamları yanı sıra diğer problem — çözücü kullanıcılar, 
sistemde uygulamayla ilişkili verilere hiç bir zaman erişme ihtiyacı duymayacaklardır. 
Onların tek ilgileneceği kendi verileri olabilir. Bu tür kullanıcılar başka veriye erişimi 
olmayan tekil bir gruba yerleştirilebilir. Ayrıca erişim seviyeleri esas alınmış gruplarda 


tanımlanabilir. 
2.27 RACF grup yapısı örneği 


RACF doğal olarak grupları bir ağaç yapısına benzetmektedir, burada her grubun (SYS1 
grubu hariç, çünkü bu grup en yüksek grup olarak RACF'le gelir) bir üst yetkili ya da sahip 
grubu vardır. Gruplar doğrudan doğruya bölümler, şubeler ve projeler gibi iş dünyasında 
kullanılan adlandırılmaya uygun olabilir. Kullanıcılar bir ya da daha fazla gruba bağlı 


olabilirler. 


Bir grup tanımlandığında, grubun esas amacının ne olduğu düşünülmelidir. Bir yönetim 
grubu mu, bir holding grubu mu, bir data kontrol grubu mu, bir fonksiyonel grubu mu yoksa 


bir kullanıcı grubumu? 


RACF grupları ayarlandığında, maksimum kullanıcı sayısının kaç olacağı akılda 
tutulmalıdır, yaklaşık bir gruba 5900 kullanıcı bağlanabilir. Fakat z7/OS 2.1 ile RACF'e 
RACF UNIVERSAL grubu gelmiştir.  RACF UNIVERSAL grubuyla birlikte gruba 
bağlanabilen kullanıcı sayısındaki limit ortadan kaldırılmıştır. RACF UNIVERSAL grubunda 


gruba bağlanacak kullanıcı sayısı sınırsızdır. 
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Z/OS 2.1 ile gelen RACF UNIVERSAL özelliğini 7/0S 2.1 de mevcut gruplarda kullanmak 
için grup dönüştürücü utility'ler vardır. Bu utility'lerden CNV2UGRP utility'si standart RACF 
grubunu RACF UNIVERSAL gruba, CNV2SGRP utilitisi ise RACF UNIVERSAL grubu 
standart RACF grubuna dönüştürür. .CNV2UGRP ve CNV2SGRP utilitilerinin program 


kaynağı şu linkten alınabilir: 444p://2journal.tcipubs. com/issues/DouglasUtilities.himl. 


Gruplar kuruluş yapısına göre ayarlanmalı ve aralarında IBM'in sağladığı SYS1 grubu en 
yüksek grup olacak ve bunun altındaki her bir grup bir diğer grubun alt grubu olacak 
şekilde hiyerarşik bir düzen kurulmalıdır. Bir kullanıcı birden fazla gruba bağlı olabilir 
(örnek diyagramda, AYŞE TEST ve MFG gruplarına bağlıdır). 


Kaynakların belirli bir kısmına erişme izni olan özel grupların olması ve bu gruplara 
bağlanacak kullanıcı profillerinde seçici olması güvenlik yöneticilerine bir kuruluştaki 


kaynaklara uygun erişim yetkisi verir. 


ÜRETİM GELİŞTİRME 


| 
| | 


EVRAKGR ŞAHIS 
- İSMAİL (grup SPECIAL niteliğine sahip) 


VAKIFGR SAGLIKGR TEST MFG 
- AYŞE - VELİ 


- HASAN - AHMET 
-ALİ -AYŞE 
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#4 Yukarıdaki diyagramda VAKIFGR, SAGLIKGR, TEST ve MFG gruplarının sahibi 
EVRAKGR'dır. İSMAİL isimli kullanıcı EVRAKGR grubuna SPECLAL olarak bağlıdır. Bu 
nitelik İSMAİL'e ( kendisi RACF yöneticisidir) VAKIFGR, SAGLIKGR, TEST ve MFG 


üzerinde kontrol yetkisi verir. 


#4 Yukarıdaki diyagramda SYS1 hariç her bir grubun bir üst grubu, ya da sahip grubu 
vardır. Tablodaki GELİŞTİRME grubu SAGLIKGR ve ŞAHIS gruplarının üst grubudur. 


is Bir kullanıcı bir gruba üye olduğu zaman, kullanıcı bu gruba CONNECT denir. 
& GELİŞTİRME grubunun EVRAKGR ve ŞAHIS isimli iki alt grubu vardır. 

ig VAKIFGR grubunun üst grubu EVRAKGR dir. 

ii Bir RACF kullanıcısı en az bir gruba CONNECT olmalıdır. 

& AYŞE, HASAN ve ALİ TEST grubuna CONNECT dir. 

G VELİ, AHMET ve AYŞE de MFG grubuna CONNECT dir. 


2.28 RACF'in grupla alakalı komutları 


Grup eklemek: 


ADDGROUP (grup—adı.......... ) 

AG (OWNER (kullanıcı ID veya grup adı) | 
(ISUPGROUP (grup — adı...)J 
IDATA ('Bilgi")) 
(TERMUACC / NOTERMUACCI 
(MODEL (dsnamej)| 
(DFP(class-isimleri)| 

Örnek 


ADDGROUP EXPED OWNER(ADMGRPS) SUPGROUP(HASENEGR) 
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Grup listelendiğinde: 


LISTGRP EXPED 


INFORMATON FOR GROUP EXPED 

SUPERIOR GROUP-HASENEGR OWNER-ADMGRPS 
NO INSTALLATION DATA 

NO MODEL DATASET 

TERMUACC 

NO SUBGROUPS 

NO USERS 


RACF'e yeni bir grup eklemek için ADDGROUP komutu kullanılır. Bu komut RACF veri 
tabanına yeni grup için bir profil ekler. Ayrıca yeni grubun belirtilen üst (superior) grupla 
olan ilişkisini de kurar. 


Grup profilleri bir RACF segmenti ve isteğe bağlı olarak seçilmiş DFP ve OMVS gibi pek 
çok diğer segmentleri de içerir. Bu komut profilin herhangi bir segmentindeki bilgiyi 


ayrıntıları ile belirlemek için de kullanılabilir. 


ADDGROUP komutunun kullanılabilmesi için aşağıdaki koşullardan en az birinin olması 
gerekir: 


& SPECİAL niteliğine sahip olmak 

& group-SPECİAL niteliğine ve group-SPECİAL kapsamı içindeki superior grup sahibi 
niteliğine sahip olmak 

“e Superior grubun sahibi olmak 


& Superior grup içinde JOIN yetkisine sahip olmak 


Grup isimleri 1 — 8 alfa numerik karakterlerden (A-Z, 0-9, #$ ©; 0 — 9 ile başlayamaz) 


oluşan özgün bir isim olmalıdır. 


Bir Grup'ta değişiklik yapmak: 


ALTGROUP (grup—adı....... ) 

ALG (OWNER(kullanıcı ID veya grup — adı)| 
(SUBGROUP (grup - adı....)| 
(DATA ('Bilgi")) 
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ITERMUACC / NOTERMUACCI 
IMODEL(dsname) / NOMODELJ 
IDFP(class / NOCLASS) / NODFPJ 


Örnek: 


ALTGROUP EXPED SUPGROUP(KGN) 


Grup listelendiğinde: 


LISTGRP EXPED 


INFORMATION FOR GROUP EXPED 


SUPERİOR GROUP-KGN OWNER-ADMGRPS 
NO INSTALLATION DATA ide. ağ 


NO MODEL DATA SET 
TERMUACC 

NO SUBGROUPS 

NO USERS 


ALTGROUP komutu aşağıda belirtilen değişikliklerden birini yapmak için kullanılır: 


iri 


pe S Ep 


Bir grubun üst grubunu değiştirmek için 

Bir grubun sahibini değiştirmek için 

Bir grubun terminal bildiricisini değiştirmek için 

Bir grubun profil ismini değiştirmek için 

Bir grubun grup oluşturulurken verilmiş DATA bilgisini değiştirmek için 

Bir grubun default segment bilgisini değiştirmek için (örneğin, DFP ya da OMVS). 


Burada kullanılan parametreler ADDGROUP komutunda kullanılanlarla benzerdir. 
Farklılıkları: 
- NOMODEL — Grup profilinden model ismini siler 


- NODATA — Grup profilinde grup tanımlanırken belirtilen DAT bilgisini siler 


- NODFP — Grup profilinden DFP segmentini siler 
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Bir gruba bir kullanıcı eklemek (connect): 


CONNECT (USERID.....) 

CO (GROUP (grup —adı...)| 
(OWNER (kullanıcı ID veya grup adı) | 
(AUTHORITY (use, create, connect, join)| 

(ISPECLIAL/NOSPECİALJ 
(OPERATIONS/NOOPERATIONSİ| 
(AUDITOR/NOAUDITORJ 
(IREVOKE(date)| 
IRESUME(date)| 
|(UACC/(erişim yetkisi)| 
|(GRPACC/NOGRPACCI 
(ADSP/NOADSPJ 


Örnek: 

CONNECT CEMAL GROUP(EXPED) 
Grup listelendiğinde: 

listgrp exped 


INFORMATION FOR GROUP EXPED 

SUPERIOR GROUP—KGN OWNER-ADMGRPS CREATED—91.343 

NO INSTALLATION DATA 

NO MODEL DATASET 

TERMUACC 

NO SUBGROUPS 

USER(S) — ACCESS— ACCESS COUNT— UNIVERSAL ACCESS— 
CEMAL USE 000000 NONE 
CONNECT ATTRIBUTES—NONE 
REVOKE DATE—NONE RESUME DATE—NONE 


Bir guruba bir kullanıcı eklemek, guruba bağlı bir kullanıcının bağlantı özelliklerini 
değiştirmek, grupla ilgili kullanıcı nitelikleri atamak ya da kullanıcıya grup yetkileri atamak 
için CONNECT komutu kullanılır. 
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CONNECT komutunun kullanılabilmesi için aşağıdaki koşullardan en az birinin olması 
gerekir: 


#i SPECİAL niteliğine sahip olmak 

& group-SPECİAL niteliğine ve group-SPECLIAL kapsamı içindeki superior grup sahibi 
niteliğine sahip olmak 

&s Superior grubun sahibi olmak 

& Grupta JON ya da CONNECT yetkisine sahip olmak 


Bir gruptan bir kullanıcıyı çıkarmak: 

REMOVE (kullanıcı ID ....) 

RE GROUPf(grup — adı) 
OWNERf(kullanıcı ID ya da grup adı) 

Örnek: 

REMOVE CEMAL GROUP(EXPED) 


grup listelendiğinde: 
LISTGRP EXPED 


INFORMATION FOR GROUP EXPED 
SUPERLOR GROUP—KGN OWNER-ADMGRPS CREATED—-11.234 
NO INSTALLATION DATA 
NO MODEL DATASET 
TERMUACC 
NO SUBGROUPS 
USER (S) — ACCESS— ACCESS COUNT— UNIVERSAL ACCESS— 


Bir gruptan bir kullanıcıyı çıkarmak ve bu grubun namına kullanıcı sahiplerinin her hangi 


bir grup dataset'lerine yeni bir sahip atamak için kullanılabilir. 


REMOVE komutunun kullanılabilmesi için aşağıdaki koşullardan en az birinin olması 
gerekir: 
# SPECİAL niteliğine sahip olmak 
& group-SPECIAL niteliğine ve group-SPECIAL kapsamı içindeki superior grup sahibi 
niteliğine sahip olmak 
#i Grubun sahibi olmak 
& Grupta JON yada CONNECT yetkisine sahip olmak 
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Bir grubu silmek: 
DELGROUP  (grup—adı...) 
DG 

Örnek: 

DELGROUP EXPED 


Grup listelendiğinde: 


LISTGRP EXPED 


ICH510031I NAME NOT FOUND IN RACF DATASET 


kk* 


mesajı yayınlanır. 


RACF'ten bir grubu ve onunla ilgili superior grubu silmek için DELGROUP komutu 
kullanılır. Bununla birlikte DELGROUP komutuyla silinen grubun RACF veri tabanının 
herhangi bir yerinde grup adı görülebilir. DELGROUP komutu grubu herhangi bir erişim 


listesinden çıkarmaz. 


Grubun hangi erişim listelerinde olduğunu belirlemek için IRR / ICHUT100 utility'sini 
kullanmak gerekir. Daha sonra RACF Remove ID utility (IRRRIDOO) si kullanılarak grup 


isminin tüm oluşumları silinir. 


DELGROUP komutunun kullanılabilmesi için aşağıdaki koşullardan en az birinin olması 


gerekir: 


#i SPECİAL niteliğine sahip olmak ya da, 

& group-SPECİAL niteliğine ve group-SPECIAL kapsamı içindeki superior grup sahibi 
niteliğine sahip olmak ya da, 

#s Superior grubun sahibi olmak ya da, 

#s Superior grupta JOIN yetkisine sahip olmak ya da, 


& Silinecek grubun sahibi olmak. 
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2.29 GRUP yetkisi dağıtımı 


Grup yetkilendirmeleri, her grup içinde grubu yönetecek bir kullanıcıyı yönetim 


seviyesinde, yetkili delege olarak yetkilendirmenin bir diğer yoludur. 


#i Genellikle, delegeleri yetkilendirmenin en basit yolu group — SPECİAL dır. RACF'in 
grup yetkileri olan USE, CREATE, CONNECT ve JOIN den hiç biri group - SPECIAL 


kadar esnek ve güçlü değildir. 


&i USE grup yetkisi bir yönetici yetkisi değildir. Kaynaklara erişmeye izin verir. Bir 


kullanıcı bir gruba bağlandığı zaman en azından USE yetkisine sahip olur 


G CREATE veriye erişme ve yönetme yeteneğinin bir karışımıdır. Kullanıcı CREATE 
ile dataset profilleri oluşturabilir ve aynı zamanda yeni dataset'ler allocate edebilir. 
Group - SPECİAL dataset allocate yeteneği sağlamadığından Group - SPECİAL ile 


aralarındaki kilit noktası budur. 


& USE, CREATE, CONNECT ve JOİN grup yetenekleri sadece o anda gruba bağlı 
olan kullanıcılara uygulanır. Bu yetkiler group — SPECİAL gibi yaygın kullanıma 
sahip değildirler. 


#i CONNECT bir kullanıcının diğer grubun kullanıcılarına bağlanmasına izin verir 


& JON kullanıcının grubun alt grupları olarak yeni tanımlanmış gruplarına 


tanımlanmasına izin verir. 


GRUP YETKİSİ DELEGASYONU a 


a 
nn gari 
gayr 


USE 
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2.30 ÖZET — 


ii (Yetki değişik yollarla dağıtılabilir. 

ii Güvenlik yöneticisi bir kullanıcıyı bir gruba bağlarken group-SPECIİAL ile yetkilerini 
kullanıcıya aktarabilir. 

ar Korunmuş kaynaklar için kaynak profilleri yetkilendirirken Class yetkisi (CLAUTH) 
kullandırılabilir. Örneğin bir kullanıcıya CICS transaction'larını koruma yetkisi 

vermek için TCICSTRN ve GCICSTRN class'ları için class yetkisi verilir. RACF'e yeni 

kullanıcılar tanımlama yetkisi USER class'a class yetkisiyle dağıtılabilir. 

ar Denetleme yetkisi bir kullanıcıyı group — AUDITOR grubuna bağlayarak dağıtılabilir. 

iyi OPERATIONS niteliği bir kullanıcıyı group — OPERATIONS grubuna bağlayarak 
dağıtılabilir. 

isi USE, CREATE, CONNECT ve JOİN grup yetkileri de yetki dağıtımında kullanılabilir. 


Bu grup yetkileri, sadece kullanıcı, grupta bağlı ise etkindir. 


ÖZET — YETKİLERİN DELEGASYONU 


FIN 
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2.31 Dataset'ler ve genel kaynaklar 


Bir kuruluşa veriler pek çok şekilde gelir. Bu gelen verilerin hiç birisi RACF tarafından 
korunmayabilir de. Dışarıdan DASD ve Teyp veya doküman olarak gelen veriler, RACF'in 


kontrolü altında gelmezler. 


» Kaynakların profillerinin Sınıfları: 
» Dataset 
o Teyp dataseti 
o DASD dataseti 
»e Genel kaynaklar 
» Terminaller 
»e Programlar 
»e Transaction'lar 


» Vediğerleri 


» Profillerin üçtipi: 
» DISCRETE (özgün) profiller 
»e GENERİC (genel) profiller 
» GROUPED (gruplanmış) profiller 


Kaynaklara erişimi kontrol etme 


Bir genel kaynağı korumak için, RDEFINE komutunu kullanarak bir genel kaynak profili 
oluşturulur. Bir genel kaynak profili oluşturulunca, profil için bir genel kaynak class'ı 
belirtilmelidir. IBM genel kaynak class'larının listesini class tanımlama tablosuyla (CDT) 
gönderir. z//OS sistemleri için class'lar /0S Güvenlik Sunucusu (RACF)'in çalıştığı sisteme 


uygundur. 


RACF-korumalı kaynaklar iki kategoriye ayrılır: dataset'ler ve genel kaynaklar. Genel 
kaynaklar class tanımlama tablosunda tanımlanmış bütün kaynaklardır. Örneğin, genel 
kaynaklar DASD ve teyp volume'lerini, load modüllerini (programları), terminalleri ve 


diğerlerini içerir. 
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RACF kuruluşa, neyi hangi seviyede kontrol edeceğini tanımlatarak kaynaklarına erişimi 
kontrol etmesi için kendi kurallarını koymasına izin verir. Kuruluş, kurallarını mevcut işletim 
ortamıyla etkileşimi sağlamak için RACF'e adapte edebilir veya sistem - kapsamlı ya da 


grup - kapsamlı güvenlik sorumlulukları atayabilir. 


Kuruluş, RACF'in kuruluşunda tanımlanmış class tanımlama tablosuna (CHRRCDE) 
eklediği yeni class tanımlama tablosuna (CDT) girişler ekleyebilir ya da var olan girişleri 


değiştirir ya da silebilir. 


Yeni bir kaynak class'ı tanımlandığı zaman, isteğe göre ya bir kaynak grup class'ı ya da 
kaynak üye class'ı dizayn edilmiş olur. Kaynak grup class'ında, her kullanıcı ya da 
kullanıcılar grubu kaynak grubun bütün üyelerine verilen erişim yetkisine sahip olan 
kaynak gruba erişime yetkilendirilmiş olur. Her kaynak grup class'ı oluşturulduğunda ayrıca 


bir de grupların üyelerini gösteren ikinci bir class oluşturulmalıdır. 


Dinamik class tanımlama tablosu (CDT) girişlerini tanımlamak mümkündür. Bu CDT 
class'ının içinde profiller tanımlanarak yapılır. Bu class'daki profiller ürünün kuruluşunda 
tanımlanmış class tanımlama tablosunda (ICHRRCDE) tanımlanmış olan bütün 


parametreleri içeren bir CDTINFO segmentine sahiptir. 
Dataset'ler üç kategoridedirler: 


hi USER  : Dataset isminin HLO'ı kullanıcı ID ile aynıdır. 
Ür GROUP : Dataset isminin HLO'ı RACF'e tanımlı grubun ismi ile uyuşur. 
Ür OTHER : diğer bütün hepsi — HLO RACF'e tanımlı kullanıcı ID ya da grupla 


uyuşmaz. 
2.32 Dataset Profili 


RACF kullanıcılar ve grupların bilgilerini profillerde tutar, aynı şekilde dataset hakkındaki 
bilgileri de bir profilde tutar. 

RACF'in dataset profilinde tuttuğu anahtar bilgiler şunlardır: 

e Dataset profilinin adı 

ii Profilin sahibi, bu ya RACF'e tanımlı bir kullanıcı ya da grup olabilir. 

Ür Varsayılan (default) ya da 'Universal' erişime izin verme (UACC) 
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UACC den farklı erişime izin verme 

Denetleme seçeneği 

Kullanıcıların ve grupların erişim listesi 

İkaz göstergesi 

Gerçek zamanlı geri bildirim bilgisi 

Dataset'ler için volume ve ünite bilgisi 

Teyp dataset'leri için güvenlik alıkonma süresi 

Erişim istatistikleri 

Güvenlik sınıflandırılması (seviyeler, kategoriler ve güvenlik etiketleri). 
DFP RESOWNER kaynak sahibi segmenti. 


DOCCOCCOCECCC 


(RESOWNER) 


SEGMENTİ 


UACC Profilin erişim listesinde belirtilmeyen kullanıcılara ve gruplara RACF'in verdiği 
default erişim yetkisidir. 
DATASET class'da bir profil oluşturulduğu zaman ya bir discrete (özgün) ya da generic 


(genel) bir profil oluşturulabilir. 


Discrete profil (Özgün Profil) 
Discrete, özgün güvenlik gereksinimi olan bir dataseti korumak için kullanılır. Discrete 


profilin ismi koruduğu dataset'in ismiyle aynıdır. 


e Profil kaynakla bire bir örtüşür. 
ee Profilin adı dataset'in adıyla aynıdır. 


G Volume ve ünite bilgisini tutar. 
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Örnek: 


Profil isim Profil tipi 
SALES.DATA Discrete 
SALES.YEARLY.OUOTA Discrete 


RACF indikatörünü Düzenleme 


RACE indikatörü sadece bir discrete profil oluşturulduğu zaman düzenlenir. Bu durum: 


Yer Dataset oluşturulduğu zaman kullanıcı ADSP niteliğine sahip olduğunda. 
ii Dataseti oluşturan job'ın JCL'inde PROTECT - YES parametresi kullanıldığında. 
ei Kullanıcı datayı RACF'in ADDSD komutuyla koruduğunda. 


oluşabilir. 


Generic profil (genel profil) 
Aynı güvenlik gereksinimine sahip bir ya da daha fazla dataset korunmak isteniyorsa 
generic profil kullanılır. Bir generic profil ile korunan dataset'lerin isimlerinde bir ya da daha 


fazla benzer karakterler bulunmalıdır. 


er genel profil kaynakların bütün aralığını gösterir 
ig 0, *ve'"** simgeleri generic profillerde kullanılan filtreleme karakterleridir. 
“o - Profil ismindeki ©, kaynak isminin aynı pozisyonundaki boşluk olmayan (bir nokta 
hariç) tek bir karakterine karşılık gelen herhangi bir karakteri belirtir. Ancak “o simgesi High 
level gualifier'da olamaz. Örneğin aşağıdaki yazım geçersizdir, çünkü “© simgesi High 
Level Oualifier'da verilmiştir. 

AYC.EFG 


fakat şu örnekteki 90 simgesi geçerlidir: 

ABC.Eİo 
* veya **- Profil ismindeki * ya da ** kaynak ismin aynı pozisyonundaki bir ya da daha 
fazla karaktere karşılık gelen karakterleri simgeler. Dataset profil isimlerinde, ** sadece 
eğer SETROPTS EGN seçeneği etkiliyse kullanılabilir. Aynı şekilde * simgesi de High 


Level Gualifier'da belirtilemez. Örneğin aşağıdaki örnek geçersiz bir generic ismidir: 
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* EFG geçersiz 
ABC*.XYZ geçersiz 


fakat şu örnekteki * simgesi geçerli bir generic ismidir: 
ABC.EF* geçerli 


* simgesi gualifierın ortasında veya sonunda belirtilirse geçerli olur, High Level 
Oualifier'da belirtilirse geçersizdir, ayrıca bir dizinde iki kez ** simgesi kullanılamaz. 


örneğin aşağıdaki örnekler ** için geçersiz bir generic ismidir: 


ABC.DE** geçersiz 
AB.*.CD.** geçersiz 


fakat şu örnekteki ** simgesi geçerli bir generic ismidir: 


ABC.** geçerli 

Örnekler: 

Profil ismi Profil tipi 
SALES.DATA. Generic 
SALES.DATA.* Generic 
SALES.DATAY Generic 
Örnekler: 

Profil ismi Profil tipi 
SALES.DATA* Generic 
SALES.DAT Generic 
SALES.DAT* Generic 
SALES.DISK.* Generic 
SALES. ATA Generic 
SALES.* Generic 
SALES.** Generic 


Dataset'ler için generic profili aktif etmede aşağıdaki komut kullanılır: 
SETROPTS GENERİC(DATASET) 
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Discrete Profil 


> Sm 
——— HLO X.DATA 
HLOX DATA 
HLO.Y.DATA 
HLO.Y.DATA 
HLO Z.DATA 
HLOZ.DATA 


— 


HLOX.DATA 
HLO ".DATA 
HLO.Y.DATA 


HLOZ.DATA 


RACF bir kaynak profilinin yerini saptamak için aşağıdakileri yapar: 


a RACE discrete (özgün) bir profili arar, eğer discrete profili bulamazsa 
ig RACF generic (genel) bir profili arar ve o zaman uygun olan en belirgin generic 
profili kullanır. 


Aşağıdaki örnekte, kaynak yöneticisi SALES.YEARLY.OUOTA dataseti için bir güvenlik 
kontrolü bildiriyor. Krokilde RACF veri tabanında tanımlanmış üç farklı tip profil 
gösterilmektedir: 


a. Adiscrete profile 
b. A fuliy gualified generic profile 


c. En belirgin generic profile 
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Kaynak — Profil Eşleşmesi 

Kural (Eğer class için generic aktife) 
Diserete profil — Eğer yoksa 

Pully gualfiğdi generiz profil — Eğer yaksa 

Eri belirgin gerer prefil 

Örnek : SALES.YEARLY.OUOTA data sel -> 
profil > 


1. Diserete profil 


SALES, YEARLY, GUĞTA ? SN > SALES TEARLT.CLMİTA 
" a m profil le i — ya © BALES YEARLM OMIDTA (5) 
LES.YE oi a. 


—— SALES NEARLY* JE) ME 
4. En belirgin generic profil 7 ai sal 
© SALES WEAR Sb a b, 


SALES." ŞIK 


RACEF profili krokide belirtilen sırada bir arama yapar. Önce discrete profil olup olmadığına 
bakar, eğer discrete profili bulamazsa, fully gualified profili arar. Eğer fully gualified profil de 
yoksa o zaman en belirgin generic profili seçer. Krokide ikinci sırada olan SALES.YEARLY 
o en belirgindir. 


Fully-gualified generic profile ile Discrete profilin farkı 

Dataset koruması için fully-gualified generic profile seçmenin bir nedeni dataset silinse bile 
profilin silinmemesidir. Eğer dataset silinir ve sonra tekrar oluşturulursa, yeniden bir başka 
profil oluşturmaksızın koruma devam eder. Bir başka nedeni de bir profille çok sayıda 


kopyayı korumaktır. Fakat discrete profilde dataset silinirse profil de silinir. 


2.33 Dataset profili tanımlamak 


» Bir dataset profili tanımla: 


»e ADDSD'SALES.YEARLY.OUOTA' 
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* Profili kaynağa ekle RDEFINE 
» RDEFİNE DATASET SALES.YEARLY.OUOTA UACC(NONE) 


» Dataset'e kimin erişeceğini tanımla 


e PERMİT SALES.YEARLY.OUOTA 
CLASS(DATASET) ID(KAYHAN) ACCESS(READ) 


» PERMİT belirtilen kullanıcıları bir erişim listesine yerleştirir 
Dataset profil örnekleri 


Yukarıdaki örnekte RDEFINE DATASET komutunda UACC (NONE) olduğu için, RDEFINE 
komutu profili oluşturduğundan, başka hiç bir kullanıcının bu dataset'e erişim yetkisinin 
olmadığını belirtir. Kullanıcılara dataset'e erişim müsaadesi vermek için kullanılan PERMIT 
komutu KAYHAN kullanıcısının dataset'e sadece READ erişimi sağlayacağını ACC(READ) 
ile açıkça belirtir. PERMIT komutuyla dataset profili erişim listesinde KAYHAN kullanıcı ID 


si yer alır. Bu dataset'e başka bir kullanıcı erişmek istediğinde aşağıdaki mesaj yayınlanır. 


ICH408I USER(TUNCAYO ) GROUP(SYSI ) NAME (TUNCAYO 
KAYHAN .BOOKSOL.CNTL CL(DATASET ) VOL(TES000) 
INSUFFICIENT ACCESS AUTHORITY 
FROM KAYHAN.* (G) 


ACCESS INTENT (READ ) ACCESS ALLOWED (NONE ) 
IEC1501 
38,IFGO194E, TUNCAYO, IKJDB2 ,ISP12002,B600,TES000, KAYHAN .BOOKSOL .CNTL 


Akk 


Dataset profillerinin tanımlanması 


Ya discrete ya da generic profil ile dataset'leri RACF korumasına almak için ADDSD 


komutu kullanılır. 


Class tanımlama tablosunda belirtilen class'lara ait bütün kaynakları RACF'e tanımlamak 


için RDEFINE komutu kullanılır. Ayrıca güvenlik seviyeleri ve güvenlik 
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kategorilerinin listelerindeki ve RACF'in RACF veri tabanında tuttuğu RACLISTed sonuçları 
için class'lar tanımlamak için ve global erişim kontrol tablosundaki kayıtları oluşturmak için 
de RDEFINE komutu kullanılabilir 


RDEFINE komutu kaynağa erişmek maksadıyla RACF veri tabanına kaynak için bir profil 
ekler. Ayrıca erişim listesine kullanıcı ID sini yerleştirir ve kullanıcıya SETROPTS 
NOADDCREATOR etkin olmazsa kaynağı ALTER etme yetkisi verir 


Not: RDEFİNE komutu kullanıcıları, grupları ya da dataset'leri tanımlamak için 


kullanılamaz. 


Dataset profilleri 


Varsayılan olarak, RACF bir dataset isminin (ve dataset profil isminin) en az iki 
gualifier'dan oluşmasını bekler. RACF ayrıca dataset profil isminin high - level gualifier'ının 
ya RACF — tanımlı bir kullanıcı adında ya da RACF-tanımlı grup adında olmasını bekler. 
RACF'e tanımlanan her bir dataset profili, profilin sahibi olarak RACF — tanımlı kullanıcı ya 
da gruba gereksinim duyar. Sahip (eğer bir kullanıcıysa) erişim listesini içeren, profil 


üzerinde tam kontrole sahiptir. 


Eğer dataset profilinin sahibi bir grupsa, bu gruptaki group — SPECİAL niteliğine sahip 


kullanıcılar profil üzerinde tam kontrole sahiptir. 


Dataset profillerinin sahipliği profiller RACF'e tanımlandığı zaman atanmaktadır. Bir 
dataset profilinin sahipliğinin, sahibin bu dataset'e otomatik olarak erişilebileceği anlamına 
gelmeyeceğine dikkat çekmek gerekir. Bir dataset'e erişmek için, profil isminin high — level 
gualifier'ı sahibin kullanıcı ID'si olmadıkça sahip profilin erişim listesinde o anda yetkili 


olmalıdır, 


Not: Generic profillerin kullanılması hem kuruluşun korunmuş dataset'leri için gerekli profil 
sayılarını, hem de RACF veri tabanının büyüklüğünü azalttığı için RACF korumasının 


yönetimini daha kolay hale getirir. 
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2.34 Dataset profili erişim listesi 


& Kaynağa KİMLERİN erişebileceğini : 
© Kullanıcılar 
& Gruplar 


« Belirli koşullar altındaki kullanıcılar / gruplar 


# Ve onların kaynağa NASIL erişebileceklerini belirler: & 
© Geçerli (hiyerarşik) seviyeler: 
& NONE 
sw EXECUTE (sadece z/OS ) 
&w READ 
& UPDATE 
ös CONTROL 
e ALTER 
Her bir erişim seviyesinin anlamı kaynak tipine bağlıdır 


Dataset profil erişim listesi 


Bir kullanıcı RACF — korumalı kaynağa (dataset gibi) erişim talebinde bulunduğunda, 
kaynak yöneticisi RACF'e bir yetki talebi iletir. RACF bunun üzerine iki kontrolü işleme 
sokar. PERMIT komutunu kullanarak kaynağa erişim yetkisine sahip kullanıcıların ve 


grupların bir listesini çıkarır. RACF iki tür erişim listesi verir: standart ve şartlı erişim listesi. 


Standard Standart erişim listesinde kaynağa erişme yetkisine sahip kullanıcı ID'leri ve 


grup isimleri ile her birinin erişim yetki seviyesi bulunur. 


Şartlı Şartlı erişim listesinde kaynağa erişmeye yetkili kullanıcı ve grup isimleri ile her 
birinin belirli şartları karşılaması durumundaki yetki seviyesi bulunur. Örneğin bir dataset'e 


program ile erişecekse, program adının belirtilmesi şarttır. 
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2.359 Erişim seviyesi tipleri 


ALTER Kullanıcılara dataseti, okuma, değiştirme, silme, isim değiştirme, yer değiştirme ya 


da scratch etme izni verir 


ALTER, discrete profilinde kullanıldığı zaman, kullanıcılara kendi erişim listesinin 


bulunduğu profili okuma, değiştirme ve silme izni verir. 


ALTER kullanıcılara ALTDSD komutunu kullanarak profil sahibini değiştirme izni vermez. 


ALTER, Generic profilde kullanıldığı zaman, kullanıcılara kendi profili üzerinde no 


authority verir. 


NONE Belirtilen kullanıcı ya da grubun kaynağa ya da profil listesine erişmesine izin 


vermez. 


EXECUTE Özel yükleme (load) kütüphanesi için, EXECUTE kullanıcılara yükleme ve 
çalıştırma izni verir, fakat kütüphanedeki programları (yükleme modellerini) kopyalama ya 


da okuma izni vermez. 


READ Kullanıcılara dataset'e sadece okumaları için erişme izni verir. (Dataseti okumaya 


yetkili olan kullanıcılar onu kopyalayabilirler ya da print edebilirler) 


UPDATE Kullanıcılara dataset'e yazma, datasetten kopyalama, datasetten okuma izni 
verir. . Bununla beraber, UPDATE kullanıcıya dataseti silme, yeniden isimlendirme, yer 


değiştirme ya da scratch etme izni vermez. 


CONTROL VSAM dataset'leri için, CONTROL, VSAM CONTROL parolasına eşdeğerdir; 
kullanıcıların kontrol interval işlemini yerine getirmelerine izin verir. Kontrol interval işlemi, 
kontrol — interval erişimi ve belirtilen datasette kayıtları getirme, değiştirme, kayıt girme ya 
da silme becerisidir. Non-VSAM dataset'ler için, CONTROL UPDATE'in karşılığıdır. 
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2.36 Dataset profili eklemeye örnek 


ADDSD (profil — adı | /parolaJ...) 

AD (OWNER(kulanıcı adı ya da grup) | 
IDATA('açıklama bilgisi") 

Örnek: 

Bir dataset profili eklemek için komut ADDSD 'KAYHAN.*' 


dataset profili listelendiğinde: LISTDSD 'KAYHAN.* 


INFORMATION FOR DATASET KAYHAN.* (6G) 


WARNING ERASE 


FAILURES (READ) 


NO USER TO BE NOTIFTIED 


OUR ACCESS CREATION GROUP DATASET TYPE 


NON-VSAM 


NO INSTALLATION DATA 


Yukarıdaki örnekte UACC READ dir. Kullanıcılar bu generic class'taki yani KAYHAN.* olan 


dataset'leri okuyabilirler. 


UACC - Bir gruba bağlı her kullanıcıya NONE, READ, UPDATE, CONTROL, ya da ALTER 
olan varsayılan bir evrensel erişim yetkisi (UACC) tahsis edilir. Bu varsayılan UACC, 
ADDUSER, ALTUSER, ya da CONNECT komutunda kullanılır. Eğer UACC için bir değer 


belirtilmezse o zaman RACF kullanıcının varsayılan evrensel erişim yetkisini NONE yapar. 
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AUDITING — Hangi erişim teşebbüslerinin loglanacağını belirtir. Varsayılan değeri 
READ'dir, yani yetkili her seviyedeki erişimlerin loglanacağı anlamına gelir. Buradaki 
FAILURES tespit edilen yetkisiz kullanıcıların erişim teşebbüslerinin loglanacağını belirtir. 
FAILURES değeri varsayılandır. 


WARNING — Bir erişim yetkisi yetersiz bile olsa RACF'in bir uyarı mesajı yayınlayacağını 
belirtir. 
NOTIFY — RACF, bu profile dayalı kaynağa erişimi ret ettiğinde kullanıcı id'nin 


bilgilendirileceğini gösterir. 
2.37 Dataset profilini değiştirmeye örnek 


ALTDSD (profil — adı | /parola|...) 


AD (OWNER(kulanıcı adı ya da grup) | 
(DATA('açıklama bilgisi")| 


NONE 

ALL (audit — access - levels) 
(GLOBAL AUDIT SUCCESS | 

FAILURES 


(ADDVOL (volume serial)| 
(IDELVOL(volume serial)| 


(ALTVOL(old-volume serial new-volume-serial)| 


Örnek: 
Bir dataset profilini değiştirmek için kullanılan komut: 
ALTDSD 'KAYHAN.* AUDIT(S(U).F(R)) 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 163/525 


dataset profili listelendiğinde: LISTDSD 'KAYHAN.* 


INFORMATION FOR DATASET KAYHAN.* (G) 


LEVEL ER UNIVERSAL ACCESS WARNING 


HAN READ NO 


F NOÖLTLETLED 


CREATION GROUP DATASET TYPE 


SsYs1 NON-—VSAM 


FATILURE KAD) 


O INSTALLATION DATA 


SUCCESS S(U) UPDATE işlemini yetkili kullanıcılar yaptığında loga kayıt edilsin demektir. 
FAILURES F(R) Yetkisiz kullanıcılar okuma yapmak için dataset'e erişme teşebbüsünde 


bulunurlarsa loga kayıt edilsin demektir. 


Bir maske kullanarak RACF veri tabanında arama yapmak 
Örnek: 

Bir mask ile uyuşan dataset profil(ler)ini listelemek için komut: 
SEARCH MASK(KAYHAN) CLASS(DATASET) 


Bu komutun çıktısı: 


KAYHAN.PDS.RACF.CNTL 


KAYHAN.PDS.* (6G) 
KAYHAN.* (G) 
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SEARCH MASK(SYS1) CLASS(DATASET) o komutunun çıktısından bir örnek aşağıdadır: 


SYSI.BRODCAST 
SYSI.LINKLIB 
SYSI.LPECEB 
SYSI. PARMLIB 
SYSI. PROCLIB 
SYSI.RACF 
SYSI.RACFSEC 
SYSI.WLMCDSO1 
SYSI.WLMCDS02 
SYSI.XCF.CDSO1 
SYSI.XCF.CDSO2 
SYSI.CPAC.HZSPDATA (G) 
Ssysı.D*.T* (G) 
SYSI.LOGR.* (6G) 
SYSI.LOGREC (6G) 
SYsI.WIM.* (G) 
SYs1ı.XCF.* (G) 
sysı.* (6G) 


çıktılarda bazı dataset'lerin yanında yer alan (G) harfi datasetin Generic olduğunu 


simgelemektedir. 


Çok faydalı bir search komutu: 


SEARCH CLASS (USER) AGE(90) CLIST('ALTUSER '' REVOKE') 


Bu komut 90 gün içinde sisteme erişmemiş kullanıcı ID'lerin listesini almak için kullanılır. 


2.38 Dataset ile ilgili komutlar 
Bir profil tarafından korunan kataloglanmış dataset(ler)i listelemek için kullanılan komut: 


LISTDSD 'KAYHAN.* DSNS 


Eğer komut sahipten verilecekse: LISTDSD dataset(*) DSNS 
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Komutun çıktısı: 


INFORMATION FOR DATASET KAYHAN.* (6G) 


UNIVERSAL ACCESS WARNING 


O USER TO BE NOTIFTIED 


YOUR ACCESS CREATION GROUP DATASET TYPE 


NON-VSAM 


FAILURES (READ) 


NO INSTALLATION DATA 


CATALOGUED DATASETS AFFECTED BY PROFILE CHANGE 


.BOOKSOL.CNTL 
.BRODCAST 

.CAR.TTF 
.CF12V4.CNTL 
.CLONE.CNTL 
.CPPTEMPI .SCPPWORK 
.CPPTEMP2 .SCPPWORK 
.CPPTEMP3 .SCPPWORK 
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2.39 Dataset ile ilgili komutlara örnekler 


Bir dataset profiline erişim izni vermek için kullanılacak komut: 
PERMIT komutudur. 
PERMIT o profil-name-1 
PE (GENERİC) 
(ID(name.../9)) * Tüm RACF kullanıcıları demektir 
(ACCESS (erişim-yetkisi)| 
(DELETE | 
(CLASS(profil-name-1-class)| 
IVOLUME(volume serial)) 
Örnek: 
PERMIT 'KAYHAN.* ID(TARIK,HASENEGR) 
ACCESS(UPDATE) 


PERMIT 'KAYHAN.* ID(YUSUF) ACCESS(READ) 
Datasetin profil erişim listesi listelendiğinde: 


LISTDSD 'KAYHAN.*” AUTHUSER 


INFORMATION FOR DATASET KAYHAN.* (G) 


TAYFUN 
HASENE 
YUSUF 


ESS CLASS ENTITY NAME 


ES IN CONDITIONAL ACCESS LIST 
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PERMIT komutu bir dataset profiline erişim izni vermek için kullanılır. PERMIT komutunu 

verecek kullanıcının: 

ar SPECİAL niteliğine sahip olması, kaynağın sahibi olması, 

e Eğer kaynak dataset ise, profilin High Level Oualifier'ının komutu verenin kullanıcı 

ID'si olması, 

iz Discrete profil için, komutu veren kişinin erişim listesinde ALTER yetkisine sahip 
olması, 

ae Discrete profil için UACC ALTER olmalıdır. 


PERMIT komutu için örnekler: 

PERMIT 'KAYHAN.FILE66.CLIST' 
ID(TARIK) ACCESS(UPDATE) 

Varsayılanlar: CLASS(DATASET) DISCRETE 


Yukarıdaki örnekte TARIK kullanıcısına 'KAYHAN. FILE66.CLIST' datasetini UPDATE etme 
izni verilmektedir. Profil DISCRETE dir. 


Örnek 2: 

WJE10 kullanıcısı RESEARCH grubundaki tüm kullanıcılara WJE10.DEPT2.DATA 
datasetine UPDATE erişim yetkisi vermek istesin. WJE10.DEPT2.DATA dataseti bir 
discrete profil tarafından korunmaktadır. Bu isteği yerine getirmek için verilmesi gereken 


komut; 
PERMIT 'WJE10.DEPT2.DATA' ID(RESEARCH) ACCESS(UPDATE) 


Örnek 3: 

ADM1 kullanıcısı SPECİAL niteliğine sahiptir. PUBLIC ve RESELL paylaşımlı kullanıcı 
ID'lerinin erişimlerini kontrol etmek istiyor. | PUBLIC ve RESELL kullanıcı ID'leri 
RESTRICTED niteliğine sahiptirler. SALES.RESELL.* UACC(READ) olan generic bir 
datasettir. Şirket içinde çalışan tüm kullanıcılar RESELL ile başlayan verilere erişmek 
istiyorlar, fakat PUBLIC kullanıcısına bu erişim yetkisinin verilmesi istenmiyor. Bu işlemi 


yapmak için kullanılması gereken komut: 


PERMİT 'SALES.RESELL .* ID(RESELL) ACCESS(READ) 
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2.40 Genel kaynakların Tanımlanması 


1. Önce korunacak genel kaynak için bir profil oluşturulmalıdır. Profil tarafından hangi 


kaynakların korunacağı belirlenmelidir. Bunun için aşağıdaki bilgiler gereklidir: 


ii 


Genel kaynak class'ı (örneğin TAPEVOL ya da TERMINAL gibi). 
Profil ismi: 
Eğer generic bir profil ismi belirtilecekse, profil bir den fazla kaynağı koruyabilir. 
Discrete profillerin yerine generic profilin kullanılması profillerin bakımını son derece 
kolaylaştırır. Genelde kaynakların büyük çoğunluğunu kapsayacak generic profiller 
oluşturulmalıdır, discrete profillerin kullanımı sadece istisnai durumlar içindir. 
Bunun yanında bir profil oluşturulurken, özellikle karmaşık erişim listelerinin 
kullanıldığı durumlar göz önüne alınarak bu profilin bir model olarak da 
kullanılabileceği dikkate alınmalıdır. Model kullanmayı belirtmek için RDEFINE 
komutunda FROM operandı kullanılır. Class'lar arasında model kullanmak içinde 
FCLASS operandı kullanılır. 
Erişim izninin başka yoldan engellenmemiş sistemdeki obütün kullanıcılara mı 
verileceğine karar verin. RACF te buna evrensel erişim yetkisi UACC denir. Pek çok 
durumlarda, UACC NONE ya da READ olmalıdır. 
Yeni kaynak profilinin sahibinin hangi kullanıcı ya da grup olacağına karar verin. 
Varsayılan olarak, bu profili oluşturan kullanıcıdır. 
Eğer profilin sahibi kullanıcısı ise, profilin sahibi kaynak profilini silebilir, 
değiştirebilir, ya da listeleyebilir. 
Eğer profilin sahibi bir grupsa, bu gruptaki (group - SPECİAL ya da group — 
AUDITOR gibi) group — level niteliğine sahip bir kullanıcının yetkisi bu profil 
tarafından korunan kaynaklara da yayılır. 
Profil tarafından korunan kaynaklara kullanıcılar başarısız erişim teşebbüslerinde 
bulunurlarsa bir mesajla hangi kullanıcının bilgilendirileceğine karar verin (NOTIFY 
operandı). 
Profil tarafından korunan kaynaklara erişim teşebbüslerinin kayıt altına alınıp 


alınmayacağına karar verin (AUDIT operandı). 
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2. RDEFINE komutunu kullanarak genel kaynak profili oluşturulmalıdır. 
RDEFINE classname profile-name other-operands 


3. Eğer özel kullanıcılar ya da gruplar kaynağa özel erişim hakkına sahipse, erişim 


listelerinin ya her ikisini ya da birini oluşturmak için PERMIT komutu kullanılmalıdır: 


Standart erişim listesindeki her bir kayıt özel bir grup ya da kullanıcının sahip 
olduğu erişimi (NONE ya da READ gibi) ifade eder : 
PERMİT profile-name CLASS(classname) 
ID(userid or group) ACCESS(access-authority) 
Şartlı erişim listesindeki her bir kayıt, özel bir kullanıcı ya da grubun sahip olduğu 
erişimi (NONE ya da READ gibi) ifade eder ve ayrıca özel erişim hakkını elde 
etmesi için hangi şartları karşılaması gerektiğini de ifade eder : 
PERMIİT profile-name CLASS(classname) 
ID(userid or group) ACCESS(access-authority) 
WHEN(condition) 
4. Eğer hala kaynak class aktif edilmemişse aktif edin: 
SETROPTS CLASSACT/(classname) 


5. Performans kazanmak için: 


sistemdeki tüm kullanıcılara değişik seviyede (READ ya da UPDATE gibi) yeni 
kaynak profiline aynı isimli giobal access checking tablo kaydı oluşturarak kaynağa erişim 
hakkı ver. 


Seçilen kaynaklar için, global erişim kontrolü (global access checking ) kullanılarak, 
RACF'in yetki kontrolü performansı artırılabilir. Global erişim kontrolü sık erişilen public 
kaynaklar için kullanılır. Örneğin, global access checking tablosundaki bir kayıtla, 
sistemdeki tüm kullanıcılara SYS1.HELP datasetine READ erişimi verebilir. 
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Global access checking tablosu bellekte korunmakta ve RACF'in yetkilendirmeyi kontrol 
etme adımından önce (authorization checking seguence) kontrol edilmektedir. Eğer bir 
kaynağa yapılacak bir erişim talebine global access checking tablosunda izin verilmişse, 
RACF bundan başka bir yetki kontrolü yapmaz. Bu, kaynak profilin RACF veri tabanına 


getirilmesi için yapılacak W/O yu iptal eder ve önemli bir performans kazanımı sağlar. 


Örnek: UACC(READ) ve AUDITYFALURES(UPDATE)) Olarak Oo tanımlanmış 
'PHONE.DIRECT' isimli bir dataset profili olsun. Bu kaynak için aşağıdaki gibi bir global 
erişim kontrol tablosu yaratılabilir. 


RALTER GLOBAL DATASET ADDMEM('PHONE.DIRECT'/READ) 


Örnek: SYS1.BRODCAST datasetine tüm kullanıcılar için UPDATE erişimi verilmek 
istensin 


SETROPTS GLOBAL(DATASET) 


RDEFINE GLOBAL DATASET 


RALTER GLOBAL DATASET ADDMEM('SYSI.BRODCAST' /UPDATE 


ADDSD 'SYSI.BRODCAST' UACC (UPDATE) 


SETROPTS GLOBAL(DATASET) REFRESH 


2.41 Global erişim kontrolüne adaylar 
Aşağıdaki kaynaklar public erişime aday olduklarından global erişim kontrolüne de 


adaydırlar: 


SYS1.BRODCAST 
SYS1.HELP 
SYS1.PROCLIB 
ISPFH/PDF kütüphaneleri 


ISPF kütüphaneleri (paneller, çerçeveler, skeletons, öğretici notlar, ve benzeri) 


b EE © 


&i Aygıt kütüphaneleri 
Önemli sistem dataset'lerinin profilleri global erişim tablosunda yer alırlar. Sistem belleğine 


yüklenirler ve bu yüzden cevap süresini kısaltırlar ve sistem kaynak 
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kullanımını azaltırlar. Tabloda bir dataset'e atanan erişim seviyesi, dataset'i kullanan tüm 
kullanıcıların erişimini belirler. 

Bu nedenle tabloya profil tanımlarken ve erişim seviyesi belirlerken dikkatli olunmalıdır. 
Dataset class Global Erişim Tablosu için kayıtlar tutmaz, bu kayıtlar GLOBAL genel kaynak 


sınıfındadır ve kayıtlar aşağıdaki komutla görüntülenebilir: 


TSO RLIST GLOBAL DATASET ALL 


GLOBAL DATASET 


MEMBER CLASS NAME 


STGADMIN.IDC.SETCACHE /READ 


SYSI.*/READ (6G) 


LEVEL OWNER UNIVERSAL ACCESS YOUR ACCESS WARNING 


00 IBMUSER NONE ALTER NO 


2.42 Programların korunması 


PROGRAM isimli bir genel kaynak class'ında program için bir profil oluşturarak özel load 
modüller (programlar) korunabilir. PROGRAM class'ında bir profil tarafından korunmuş 
programa kontrol altına alınmış (controlled program) denir. Sadece tek bir programın 
korunacağı durumda, profilin tam ismi verilebildiği gibi profilin ismi bir asteriks (*) ile de 


sonlandırılabilir. Bu durumda profil birden fazla programı koruyabilir. 
Örneğin, profil ismi ABC* olan profil ABC ile başlayan tüm programları korur. 


Programlar program kütüphanelerinde tutulurlar. Bir program kütüphanesi memberları load 
modüller olan (programlar) partitioned dataset'tir. Program kütüphaneleri genel kullanıma 
açık (public use — bunlar LINKLIST de olurlar) ya da kullanımı sınırlı özel 

kullanıma (private use) açık olabilirler. Program kontrolünü ayarlamak için, programın 


yüklendiği kütüphane koruma altına alınmak istenebilir. Kontrol altına alınmış bir 
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programın profili aynı zamanda programları içinde bulunduran program kütüphanesinin 


ismini de içermelidir. Profil ayrıca aşağıdakileri de içermelidir: 


ig kütüphanenin bulunduğu volume'un volume serial numarası 
ii Kullanıcı ve grupların standart erişim listesi ve onlarla bağlantılı erişim yetkileri 
isi kullanıcı ya da grupların şartlı erişim listesi ve bir programa sistem tanıtıcı ismine 


göre (SMFID) erişim kısıtlaması getiren sistem ID kombinasyonları. 


PROGRAM class GENERICOWNER'ı desteklemez. (PROGRAM class'taki bütün profiller 
discrete profildir. Bu class'ta profilin sonunun * ile bitmesine izin verilmiş olsa bile bunlar 
doğru olmayan generic profillerdir). Eğer PROGRAM class'ta profillerin oluşturulması 
kontrol edilmek isteniyorsa, CLAUTH(PROGRAM) kullanılabilir. 

PROGRAM class'taki load modül isimleri için tanımlanmış profiller aşağıdakileri yaparlar: 


e Özel program kütüphanelerinden çalıştırılan programları yetkilendirirler. 
Yar Alias isimleri kullanan programların çalıştırılmasını kontrol ederler. Program ismi ve 
onun alias isminin her ikisi de PROGRAM class'ta tanıtılmalıdır. Ayrıca, Link Pack 


Area (LPA) da olmayan TSO komutları da kontrol edilmiş olmalıdır. 


2.43 Genel kaynak profilleri ile ilgili RACF komutları: 


Aktivite Komut 

Tanımlama RDEFINE 

Listeleme RLIST 

Değiştirme RALTER 

İzin verme PERMIT with CLASS(c/lassname) 
Arama SEARCH with CLASS(classname) 
Silme RDELETE 


Dataset'ler kaynağın sadece bir tipini gösterirler. Bir kuruluş aynı zamanda teyp, ve disk 


volumlerini, programlarını, transaction'larını, sistem hizmetlerinive bunun gibi 
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kaynaklarını da korumak ister. Öyleyse bu kaynakların da tanımlanmış profilleri olmak 


zorundadır. 

ig Her kaynak CLASS tarafından tanımlanmış olmalıdır. 

ii Kaynak profillerini tanımlamak için RDEFINE komutu kullanılır. 

er Bir kaynak class'ı SETROPTS komutu yardımıyla aktif edilmelidir. 

isi Performans nedenlerinden dolayı bir class'ın ana bellekte tutulan profilleri RACLIST 


komutuyla aktif edilebilir. 

ig Kaynak profilinde değişiklik yapıldığı zaman RACLIST olan class için SETROPTS 
REFRESH komutu girilmelidir. 

Örnek: 

Bir genel kaynak profili tanımlamak için kullanılan komut örneği aşağıda verilmiştir: 


RDEFINE PROGRAM IKF* ADDMEM('SYSI.COBLIB' /SYSRES/NOPADCAK) 


DELUSER Komutu 


Aşağıda DELUSER komutunun kullanımını ve onunla bağıntılı DU alias'ını ve bunların 
kullanım yetkisinin sadece SECADMIN grubuna nasıl verildiğini anlatan bir örnek 


verilmiştir: 


E PROGRAM DELUSER UACC (NONE 
ADDMEM('SYSI.LINKLIB' //NOPADCHK) 
E PROGRAM DU UACC(NONE) ADDMEM('SYSI.LINKLIB' //NOPADCAK) 


— 


ELkullanıcı D(SECADMIN) ACCESS(READ) CLASS (PROGRAM) 
U ID(SECADMIN) ACCESS(READ) CLASS (PROGRAM) 


Not: Eğer PADS kullanılıyorsa (programın dataset'lere erişimi - program access to 
datasets - PADS) PROGRAM class'ta yer alacak bir profil tanımlanmalıdır. Başka bir 
deyişle, eğer PADS kullanımdaysa, dataseti açacak program kontrol altına alınmış bir 


program olmalıdır. 
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2.44 RACF sistem seçeneklerini kullanmak 


SETROPTS komutu 

RACF sistemde yapılan çalışmaların sistem kapsamlı kontrol edilmesi ile ilgili pek çok 
seçenekler sunar. Bu seçeneklerin çoğu uygun operandları ile birlikte SETROPTS komutu 
kullanılarak ya da TSO'nun ISPF arayüzündeki RACF panelleri kullanılarak devreye alınır. 
Ancak RACF'in sunduğu bütün seçeneklerin uygulamaya alınması zorunlu değildir. 
Kuruluş bu seçeneklerden kendisi için hangileri gerekli ise onlara karar verir ve 
uygulamaya alır. 

Bu seçeneklerin uygulamaya alınması için de SETROPTS komutu ve ilgili operandları 


kullanılır. Sistem çapında parola geçerlilik süresinin ayarlanması buna bir örnektir: 


SETROPTS PASSWORD INTERVAL(30) 


Bu komutta kullanılan INTERVAL yardımcı operandı kullanıcı parolalarının geçerlilik 
süresinin kaç gün olacağını belirtir. Bizim örneğimizde RACF'te tanımlı kullanıcıların parola 
geçerlilik süreleri bu komutla 30 gün olarak belirlenmiş olur. 

Bir başka örnekte RACF ile korunmuş dataset'ler için genel profiller kullanılmak isteniyorsa 
SETROPTS'un GENERİC operandlı aşağıdaki komutu kullanılır 


SETROPTS GENERİC(DATASET) 


SETROPTS komutlarını kullanacak kullanıcının SPECİAL ya da AUDITOR niteliğine sahip 


olması gerekmektedir. 
CLASSACT parametresi 


RACE sistemi ilk kurulduğunda, başlangıç olarak sadece USER, GROUPve DATASET gibi 
bir kaç RACF class'ı aktiftir, TAPEVOL, TSOPROC, gibi diğer class'lar aktif değildir. 
Örneğin, teyp volume'lerinin RACF tarafından korunması istenirse, TAPEVOL class'ının 


aşağıdaki komut kullanılarak aktif edilmesi gerekir: 


SETROPTS CLASSACT(TAPEVOL) 
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RACLIST REFRESH parametresi 


Sistem seçenekleri RACF veri tabanında tutulur ve belirli bir kaynak class'ı için 
SETROPTS RACLIST kullanıldığında, bu parametre bellekte tutulan profillerdeki bilgiyi de 
günceller. REFRESH parametresi ile SETROPTS komutunu kullanarak bellekte tutulan 


profillerin dinamik olarak güncellenmesi sağlanır. 

Aşağıdaki örnek TSOPROC class'ındaki profili dinamik olarak günceller: 
SETROPTS RACLIST(TSOPROC) REFRESH 

Yetkilendirme 


SETROPTS komutları çok etkili olduğundan bu komutlardan pek çoğu SPECİAL niteliğine 


sahip olmayı gerektirir. 
SETROPTS'un denetlemeyle ilgili seçenekleri 


SETROPTS komutu yardımıyla sistem çaplı bir denetleme yaparken kullanılacak çok 
sayıda kontroller vardır. RACF, RACF komutları ve DEFİNE istekleri yoluyla RACF veri 
tabanına yapılan tüm erişimler içinden istenen class'a göre ayrı log kayıtları alabilecek 
araçlar sunar. İstenen CLASS'a göre denetleme yapabilmek için SETROPTS komutunun 
AUDIT operandı kullanılır, bu komut verildikten hemen sonra devreye girer. Aşağıdaki 
örnekte kullanıcılar, gruplar, dataset'ler ve terminaller için verilmiş RACF komutlarını ve 


bunlar için yapılmış DEFINE isteklerini denetlemek için kullanılan RACF komutu verilmiştir. 


SETROPTS AUDIT(USER GROUP DATASET TERMINAL) 


Eğer AUDIT(9), belirtilirse o zaman tüm class'lar için loglama oluşturulur. Bir class için 
loglamayı kaldırmak istenirse o zaman NOAUDIT operandı kullanılır. NOAUDIT(*) RACF 


yeni kurulduğu zaman etkilidir. 
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SETROPTS'un kaynak korumayla ilgili seçenekleri 


e İstatistik Toplanmasının Aktif Edilmesi 
(STATISTICS) 


e Kullanılmayan kullanıcı ID'lerin yürürlükten kaldırılması (INACTIVE) 


ee Kullanıcı doğrulamasıyla ilgili istatistiklerin Aktif edilmesi 
(INITSTATS) 


Eğer SETROPTS'un INITSTATS'ı açık değil de NOINITSTATS özelliği açıksa o zaman 
SETROPTS'un INACTIVE, REVOKE, HISTORY ve WARNING seçenekleri kullanılamaz. 


2.45 İstatistik ile ilgili seçenekler 

Bir kuruluş iki tip RACF istatistiği toplar. Bir tanesi discrete profiller tarafından korunmuş 
özel class'lardaki kaynaklara yapılan erişim kayıtları STATISTICS, diğeri kullanıcı logon 
bilgilerinin kayıtları, INITSTATS. 


İstatistik Toplamanın aktif edilmesi (İSTATİSTİK Seçeneği) 


Bazı sebeplerden dolayı (örneğin eğer özel bir kaynak özgün güvenlik irtibatlarına sahipse 
ve bu yüzden bir discrete profil tarafından korunmuşsa) bu kaynağa erişimin nasıl olduğu 
ve kaç kere erişimin yapıldığı ( ile ilgili istatistiki verileri toplamak faydalı olabilir 
.SETROPTS STATISTICS seçeneği bu bilgiyi sağlar. RACF discrete kaynak profilindeki iki 
set istatistiğin bakımını yapar. Birinci set, kaynağa yapılan bütün aktiviteleri sayar. Diğer 
set, erişim listesindeki her kayıt için aktiviteyi sayar. Aşağıdaki örnek TSOPROC 
class'ındaki kaynaklar için STATISTICS'in nasıl aktif edileceğini göstermektedir: 


SETROPTS STATISTICS(TSOPROC) 


Dikkat: Bütün sistemin içinden belirli bir kaynaktaki tüm discrete profiller için 
İSTATİSTİKLERİN başlatılmasının sistem çaplı olduğu unutulmamalıdır. İSTATİSTİKLERİ 
açmak, çeşitli kaynak class'larındaki discrete profillerin sayısına bağlı olarak performansı 


olumsuz etkileyebilir. 
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RACF veri tabanı ilk oluşturulduğunda, İSTATİSTİKLER bütün class'lar için kapalıdır 
(NOSTATISTICS) 


Kullanıcı doğrulanması için istatistikleri aktif etmek (INITSTATS seçeneği) 


RACF veri tabanı ilk oluşturulduğunda, INITSTATS'ın varsayılan değeri açıktır (on). 
INITSTATS sistemdeki tüm kullanıcı profillerindeki istatistikleri kayıt eder. 
Eğer aşağıdaki seçeneklerin avantajlarından faydalanılmak isteniyorsa INITSTATS'ı 


kullanmak gereklidir: 


e SETROPTS INACTIVE seçeneği 


» SETROPTIS PASSWORD seçeneği REVOKE, HISTORYve WARNING 
parametreleriyle 


Kullanılmayan kullanıcı ID'lerin iptal edilmesi (INACTIVE seçeneği) 
SETROPTS komutunun INACTIVE operandı eğer bir kullanıcı ID'si belirlenen bir süre 


boyunca kullanılmadan kalıyorsa RACF'in kullanılmayan bu kullanıcı ID'leri iptal etmesini 


ve bu da kullanıcıların sistemi düzgün kullanmalarını sağlar. 


Aşağıdaki komut eğer bir kullanıcı ID 30 günden fazla kullanılmadıysa RACF'in onu iptal 


edeceğini anlatmaktadır: 
SETROPTS INACTIVE(30) 


Eğer SETROPTS INACTIVE(30) komutu girilirse ve kullanıcı 31 günde aşağıdakilerden hiç 


birini yapmadıysa bu kullanıcının sistemi kullanması iptal edilecek demektir: 


e |oggedon 

» Biriş çalıştırmak 

»e her hangi bir metotla parolasını değiştirmek 
» RACF'ten bir çıktı almak 


Not: Kullanıcının bilgileri ve kayıtları RACF'ten silinmez. RACF kullanıcıyı kullanıcının 


sisteme bir sonraki girişine kadar iptal eder. 
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2.46 PAROLA Seçeneği (PASSWORD Option) 


ii SETROPTS PASSWORD 
© Büyük — küçük harf karışımı karakterleri içeren parolalara izin verme 
© Yazım kuralı oluşturma 
& Maksimum ve minimum parola değiştirme süresini belirleme 
© Parola ve kullanıcı ID süresinin uzatılması işlemleri 


ei parola değiştirme tarihini önceden ikaz etme 


© 


parola ve parola cümlesinin geçmişi 
ii kurala uygun parola ya da parola cümlesi girmeyen kullanıcı ID'lerin sisteme 
girişlerinin iptali 


Büyük — küçük harf karışımlı parolaya izin verme 


Varsayılan olarak, NOMIXEDCASE etkindir ve NOMIXEDCASE de büyük — küçük harf 
karışımlı parolalar desteklenmez. Büyük — küçük harf karışımlı parolalar daha güvenlidirler 
ve tahmin edilmeleri büyük harfli parolalardan daha zordur. Aşağıdaki komutla büyük — 


küçük harf karışımlı parolanın kullanımına izin verilebilir. 
SETROPTS PASSWORD(MIXEDCASE) 


Dikkat : Eğer büyük — küçük harf karışımlı parolalar kullanılmak isteniyorsa, parola yazım 


kuralında büyük — küçük harf karışımın bulunduğundan emin olunmalıdır. 


Kısıtlama : ISPF panelleri SETROPTS seçeneğinin büyük — küçük harf karışımını aktif 
etme ve etkisizleştirme seçeneklerini desteklemez. Bu yüzden PASSWORD seçenekli 
SETROPTS komutu kullanılmalıdır. 


Parola Yazım Kurallarını Belirlemek 


RACF'te SPECİAL niteliğine sahip bir kullanıcı, yeni oluşturulan parolaların kuruluş 
standartlarına uygunluğunu kontrol etmek için bir parola yazım kuralı oluşturabilir. Bu 
kurallar: 


&i Parolaların maksimum ve minimum uzunluğu 
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#i Parolalarda kuruluşun belirlediği pozisyonlarda hangi karakter tipinin kullanılacağını 
(büyük - küçük harf, a-2Z, A-z, rakam, simge) kontrol etmeye izin verir. 
Bu kurallar SETROPTS komutunun PASSWORD operandının RULEnN alt operandında 
belirtilerek oluşturulur. Aşağıdaki örnek bir kuruluş için yeni parolaların hangi yazım 
kurallarına göre oluşturulacağını göstermektedir. 


SETROPTS PASSWORD(RULE1(LENGTH(8) VOWEL(1,3,5:8) NUMERIC(2,4))) 


örnekte SETROPTS komutu RULET isimli bir yazım kuralı oluşturur. RULET yazım kuralı 
yeni parolaların 8 karakter uzunluğunda olacağını, pozisyon 1,3,5,6,7ve8 

de sesli harf kullanılacağını ve pozisyon 2 ve 4 te rakam kullanılacağını belirtir. Böylece, 
şöyle bir parola A2E2EAEE kurala uygun olacak fakat C3DMIER5 parolası kurala 


uymayacaktır. 


Parola LENGTH değerleriyle belirtilen her pozisyon için bir değer tanımlanmazsa, tanımsız 


pozisyonlar alfa numerik karakterlerin herhangi bir kombinasyonu olabilir. 


Not: Eğer RACF |ISPF panelleri kuruluysa, parola yazım kuralları ISPF panellerinden de 


verilebilir. 


Maksimum ve minimum parola değiştirme süresini belirleme 

INTERVAL alt operandı sistem varsayılanı olarak bir kullanıcının parolasının maksimum 
gün sayısı kadar geçerli kalacağını belirtir. MINCHANGE alt operandı ise sistem 
varsayılanı olarak kullanıcının parola değiştirme süreleri arasında minimum gün sayısı 
kadar süre geçmesi gerektiğini belirtir. Aşağıdaki örnek her kullanıcının parola geçerlilik 
süresinin 45 gün olduğunu ve hiç bir kullanıcının parolalarını 7 günden daha sık 


değiştiremeyeceğini gösterir. 
SETROPTS PASSWORDÇ(INTERVAL(45) MINCHANGE(7)) 


Parolanın son kullanma süresini önceden ikaz etmek 

Parolanın kaç gün sonra biteceğini önceden ikaz etmek için WARNING alt operandı ile 
gün sayısı belirtilir. Aşağıdaki örnek bir kullanıcı TSO'ya her logon olduğunda ya da 
sisteme parola kullanan bir toplu iş gönderdiğinde parolanın sona ereceğini 5 gün önceden 


ikaz edecektir: 
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SETROPTS PASSWORD(WARNING(5)) 


Parolanın önceki parolalarla kontrol edilmesi 

Yeni girilecek parolanın önceki parolalarla aynı olmasını önlemek için, önceki parolalarla 
yeni parolanın karşılaştırılması yapılır. Password operandının HISTORY alt operandında 
belirtilen sayı kadar önceki parolalarla karşılaştırma yapılacağı bildirilir. Aşağıdaki örnekte 


HISTORY(4) yeni parolanın önceki 4 parolayla aynı olamayacağını ifade etmektedir. 


SETROPTS PASSWORD(HISTORY(4)) 


Hatalı parola giriş tekrarlarını önleme 


Bir kullanıcıya sınırlı sayıda parola girme hakkı vermek için, PASSWORD operandı ile 
REVOKE alt operandı kullanılır. REVOKE alt operandı kullanıcının sisteme bir giriş 
hakkında kaç defa parola deneyebileceğini belirtir. Belirtilen sayıdan fazla parola 
denemeye kalktığında kullanıcı ID'si REVOKE olur. Aşağıdaki örnekte kullanıcı sisteme 


giriş için aynı anda 3 defa hatalı parola girerse sistem kullanıcıyı REVOKE eder. 


SETROPTS PASSWORD(REVOKE(3)) 
Fakat eğer kullanıcı SPECİAL niteliğine sahipse, RACF bu kullanıcıyı hemen REVOKE 


etmez, konsola aşağıdaki mesajı göndererek bu kullanıcı için mesaja N cevabı girilene 
kadar parola deneme hakkı verir. Eğer bu mesaja N cevabı girilirse, kullanıcı REVOKE 
olur. Bu hakkın SPECİAL özelliğe sahip kullanıcıya verilmesi normaldir, çünkü eğer bu 
kullanıcı SPECİAL olan tek kullanıcı ise REVOKE olduğunda sisteme giremez, REVOKE 
niteliğini kaldırmayı ya da parola değiştirme işlemini de bu kullanıcıdan başkası 


yapamayacağı için problem çıkabilir. 


2.47 SETROPTS'un diğer seçenekleri 


& DATASET Class için Geniş Kapsamlı Genel İsimlendirmeyi Aktif Etme (EGN) 
# Tüm Dataset'leri RACF-Korumasına Alma (PROTECTALL) 

# Otomatik Dataset Korumasını Kaldırma (NOADSP) 

& Katalogsuz Dataset'lere Erişimi Önleme (CATDSNS) 
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&© Gerçek Dataset İsimlerini Görüntüleme ve Loglama (REALDSN) 
& Tek — Oualifier'lı İsimlerle Dataset'leri Koruma (PREFIX) 

& Scratched ya da Released DASD Datasının Silinmesi (ERASE) 
# Korunmuş DFP- Managed Temporary Datasets(TEMPDSN) 


DATASET Class için Geniş Kapsamlı Genel İsimlendirmeyi Aktif Etme (EGN) 


RACF veri tabanı ilk kurulduğunda Dataset class için geniş kapsamlı genel isimlendirme 
aktif değildir (NOEGN). SPECİAL niteliğine sahip bir kullanıcı geniş kapsamlı genel 
isimlendirme özelliğini aşağıdaki komutla aktif edebilir. 

SETROPTS EGN 

Bu seçenek aktif edilir ve aşağıdakilerden herhangi biri tanımlanırsa RACF ** (buna 


ilaveten * ve “o genel karakterlere) genel karakterin kullanılmasına izin verir: 


Ür DATASET class'ta bir genel profil tanımlanırsa 
İri DATASET class için global erişim kontrol tablosunda bir giriş tanımlanırsa 


Geniş kapsamlı genel isimlendirmenin genel dataset profilleri için * genel karakterinin 
anlamını değiştirdiğine dikkat. EGN'i kapatmak için ise SETROPTS NOEGN komutu 


kullanılır. 
Tüm Dataset'leri RACF-Korumasına Alma (PROTECTALL) 
RACF hangi kullanıcıların yeni bir kullanıcı dataseti oluşturabileceğini kontrol eder. 


İri Eğer kullanıcı dataseti bir genel profil tarafından korunmuşsa: 
» Kullanıcı her zaman onların high-level gualifier'ıyla bir dataset oluşturabilir. 
» Profillerinde kendilerine ALTER erişimi verilmiş olan diğer kullanıcılar 
kullanıcının high-level gualifier'ıyla dataset'leri oluşturabilirler. 
ig Eğer kullanıcı dataseti bir genel profil tarafından korunmamışsa: O zaman herhangi 
bir kullanıcı yeni bir kullanıcı dataseti oluşturabilir, ancak PROTECTALL seçeneği aktif 
olmadıkça ve dataset oluşturma izni oldukça PROTECTALL seçeneği bütün dataset'lerin 


RACF korumalı olmasını sağlar. 
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Yar Eğer protect-all aktif edilirse, bir kullanıcı sadece eğer dataset RACF-korumalıysa 
yani RACF'te profili varsa o zaman bir dataset'e erişebilir ya da profili olan bir dataseti 
oluşturabilir. Bu seçenek şu komutla aktif edilir: 

SETROPTS PROTECTALL 

Bu komut girilirse, profili olmayan dataset'lere erişim kabul edilmeyecektir. Aynı zamanda 


profili olmayan yeni bir dataset oluşumu da engellenecektir. 


Not: Bu seçenek aktif edilmeden önce, DATASET class için genel profil kontrolü de aktif 
edilmelidir. 

SETROPTS GENERİC(DATASET) 

Örnek: 

KAYHAN.DATA.* genel korumalı bir dataset olsun, bu dataseti oluşturan kullanıcı KAYHAN 


olsun ve erişim listesindeki bilgi OSMAN / ALTER olsun. Yani Osman kullanıcısı 
KAYHAN.DATA ile başlayan dataset'ler oluşturabilir, değiştirebilir ya da silebilir. 


KAYHAN.DATA OWNER YACC ACCESS LİST 
KAYHAN NONE OSMAN / ALTER 
Deni 


OSMAN KAYHAN.DATA.TEST 


Kullanıcısı 
KAYHAN.DATA.PROD 


ie Yukarıdaki resimdeki anlatıma göre KAYHAN, HLO olarak kendi kullanıcı ID'si ile 


başlayan dataset'ler oluşturabilir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 183/525 


Yar Kayhan'ın erişim listesinde Osman'ın dataset'lere ALTER yetkisi vardır. Bu 
nedenle, Osman KAYHAN.DATA ile başlayan dataset'leri oluşturabilir. Aynı zamanda 
KAYHAN.DATA ile başlayan dataset'leri değiştirebilir ya da silebilir. 


Otomatik Dataset Korumasını Kaldırma (NOADSP) 


ADSP operandının kurulumla gelen varsayılanı aktiftir. ADSP özelliğine sahip kullanıcılar 
dataset'ler oluşturdukları zaman RACF otomatik olarak discrete dataset profilleri yaratır. 


Bu kurulumla gelen özellik aşağıdaki komutla değiştirilebilir: 


SETROPTS NOADSP 


SETROPTS NOADSP özelliği aktif olunca, ADSP niteliğine sahip kullanıcılar yeni 
dataset'ler oluşturunca RACF otomatik discrete dataset profilleri yaratamaz. 

NOADSP RACF veri tabanında dataset profillerinin sayısını azaltacağından, NOADSP 
niteliğinin kullanılması önerilir. Genel dataset profillerinin kullanımı genel olarak daha 
etkilidir. 


Katalogsuz Dataset'lere Erişimi Önleme (CATDSNS) 


SETROPTS komutunun CATDSNS operandı SPECİAL niteliği olmayan kullanıcıların DFP 
kontrolündeki dataset'lere erişim hakkı elde etmesini önlemek için kullanılabilir. | Bu 


dataset'ler sistem dataset'leridirler ve sisteme kataloglu değildirler. 


CATDSNS seçeneğini aktif etmek için aşağıdaki komut kullanılır: 
SETROPTS CATDSNS 


Katalogsuz dataset'ler normal olarak sistemde bir iş çalışırken, iş çalışma süresince 
oluşturulan ve iş bitince otomatik olarak silinen geçici dataset'lerdir. Ayrıca kullanıcılar 
Katalogsuz teyp dataset'lerinden de okuma yapamazlar ayrıca bu özellik geçerli olduğu 
zaman DASD dataset'lerine okuma ya da yazma yapamazlar. 

Fakat bu seçenek NOCATDSNS olursa o zaman kullanıcılar Katalogsuz dataset'lere 
erişebilirler. Bunun yanında WARNING operandı kullanılarak FAL modda kullanıcıların 
Katalogsuz dataset'lere erişmesine izin verilir fakat erişim olduğunda kullanıcıya ve 
güvenlik yöneticisine WARNING mesajı da yayınlanır. 

SETROPTS CATDSNS(WARNING) 
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Gerçek Dataset İsimlerini Görüntülemek ve Loglamak (REALDSN Seçeneği) 


Eğer kurulumunuz dataset isimlerini değiştirmek için isim standartları tablosu ya da 
kurulum exit'leri kullanıyorsa, RACF, RACROUTE REGUEST —- AUTH ve REGUEST - 
DEFİNE tarafından kullanılan gerçek dataset isimlerini her hangi bir SMF log kayıdına ve 


operator mesajına koyar. Bunu yapmak için 


SETROPTS REALDSN 


komutu kullanılır. 


REALDSN seçeneği RACF isimlendirme kurallarına uygun olarak kurulum exit rutinleri 
tarafından oluşturulmuş dataset isimlerinin yerine operator mesajlarında ve loglarda 


dataset'lerin gerçek isimlerinin çıkmasını sağlar. 


Single-Gualifier İsimli Dataset'lerin Korunması (PREFIX Seçeneği) 


İsimleri tekil gualifier'dan ibaret olan dataset'ler RACF tarafından korunabilir. Bunun için 
SETROPTS komutunu PREFIX operandı ile kullanmak gerekir 
SETROPTS PREFIX(RAC1LVL) 


yukarıda verilen örnekteki komut yardımıyla tekil gualifier'ı olan RACILVL RACF 
tarafından korunacaktır. Prefix bir grup ismi olmalıdır ve herhangi gerçek dataset'lerin ya 


da dataset profillerin high-level gualifier'ı olarak kullanılamaz. 


Scratch ya da Release edilmiş DASD Verisinin Silinmesi (ERASE Seçeneği) 


Eğer erase-on-scratch aktif ve DASD dataset profili silme indikatör setine sahipse, ERASE 
veri yönetiminin her hangi bir scratch ya da bu profil tarafından korunan bir DASD 


datasetinin parçasına uzanan release edilmiş dataseti sileceğini belirtir. 


Genel Kaynak Class'larını Aktif Etmek (CLASSACT Seçeneği) 


SPECİAL niteliğine sahip bir kullanıcı, RACF'in genel kaynak class'ları için sağladığı erişim 
yetki kontrolü imkânından yararlanabilir. Seçilmiş genel kaynak class'ları için bu imkândan 
SETROPTS komutunun CLASSACT operandı ile faydalanılabilir. 

Aşağıdaki örnek TERMINAL ve CONSOLE kaynak class'ları için RACF kaynak erişim 


kontrolünün nasıl kullanılacağını göstermektedir. 
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SETROPTS CLASSACT(TERMINAL CONSOLE) 


Önemli: IBM bütün RACF class'larının aktif edilmesini tavsiye etmez. Sadece kuruluş için 
önemli olan class'lar aktif edilmelidir. Bu class'lar kaynaklara erişim izni verilmek için 


gerekli profilleri tanımlanmış class'lar olmalıdır. 


SPECİAL niteliğine sahip bir kullanıcı SETROPTS komutunda NOCLASSACT operandını 
da kullanabilir. Bu operand RACF'in seçilmiş genel kaynak class'ları için hiç bir erişim yetki 
kontrolü yapamayacağını gösterir. NOCLASSACT(*) kullanılırsa, RACF class tanımlama 
tablosundaki (CDT) class'ların hiç biri için erişim yetki kontrolü yapılmayacak demektir. 
Aşağıdaki örnekte RACF'in TERMINAL class için erişim yetkilendirme kontrolü 


yapmayacağını gösterir: 
SETROPTS NOCLASSACT(TERMINAL) 


CLASS Açıklayıcı Tablosu (ICARRCDX) 


RACF class ile ilgili bir karar verme ihtiyacı duyarsa ( profil isimlerin maksimum uzunluğu 
kaçtır? gibi) o zaman class açıklayıcı tablosuna başvurur. Genel kaynakların tamamı class 
açıklayıcı tabloda tanımlanırlar. USER, GROUP ve DATASET class'ları ile ilgili tanımlar bu 
tabloda yer almaz. Her kaynak bir class'a sahiptir. Bu tablodaki her kayıt, profil isminin 
yazım kuralı, varsayılan UACC ve RACF'in bu class için yetkilendirme kontrolü yapacağı 
zaman OPERATIONS kullanıcı niteliğini hesaba katıp katmayacağı gibi pek çok bilgiyi 


içerir. CDT iki load modülden oluşmuştur: 
&w ICHRRCDX IBM-tarafından sağlanan class kayıtları 
& ICHRRCDE kurulum sırasında tanımlanan kayıtlar 


örneğin veri tabanı unload işlemi unload profilleri olarak her iki modülü de kullanır. 


RACE ürünü ile sağlanan genel kaynak class'larından bazı örnekler : 


DASDVOL (- DASD volume'leri 
TAPEVOL ( - Teyp volume'leri 
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TERMINAL - Terminaller 

PROGRAM - program load modülleri 

TCICSTRN - CICS transaction'ları 

GCICSTRN  - CICS transaction'ları için grup class 


TIMS - IMS transaction'ları 
GIMS - IMS transaction'ları için grup class'ları 
DSNR - DB2 ilişkisel veri tabanı ürünü 


CDT'de yer alan girdilerin formatı: 


r- 


label| CHERCDE CLASS—class-name 


, IDxnumber 


, POSIT—number 


, GROUP->grouping-class | 


, MEEMBER—>member-class | 


, PROFDEF-YES | NO | 


, MXLNTH-8 | number | 


, MAXLENX—number | 


, GENERIC-ALLOWED | 


DISALLONED | 


I ,FIRST-ALPHA NUMERİIC | 


ALPHANUM ANY 
NONATABC NONATNUM | 


I ,OTHER-ALPHA NUMERİIC | 


ALPHANUM ANY 


NONATABC NONATNUM | 


| ,CASE-UPPER | ASIS ) 


Aşağıda bir CDT örneği yer almaktadır: 


CLASS —- MY#CLASS, 
ID—250, 
MAXLNGTH-6, 


FIRST—ALPHANUM, 


OTHER-ALPHANUM, 


POSIT-24, 
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RACLIST—ALLOWED, 


GENLIST—DISALLOWED, 


OPER-YES 


CDT bilgisi 
DTINFO 


> 
w 
Bİ 


ENERIC 
ENLIST 
ROUP 
EYOUALİFİ! 


NAAAUUY!0 
WU 
W 
Fr 


için bir başka örnek: 


EFAULTUACC 


ERS 


MACPROCESSING 


MAXLENGTH 
MAXLENX 


INFORMATTON 


DISALLOWED 
DISALLOWED 


0000000000 
NORMAL 
042 
NONE 


YES 

ALPHA NUMERİIC SPECTAL 
0000000303 

YES 
REOUIRED 
YES 

NO 


örneklerde yer alan POSIT sayıları bir dizi classların CDT'de girilen değerlere uygun olarak 


kollektif olarak yönetilmesine izin vermek içindir. POSIT değeri O — 1023 arasında olabilir. 


Genel Profil Kontrolünü ve Genel Komutu Aktif Etmek (GENRIC ve GENCMD) 


SPECİAL niteliğine sahip bir kullanıcı, genel profil kontrolünü ya tüm class'lar için ya da tek 
tek class'lar için aktif ya da deaktif edebilir. Bu seçenek SETROPTS komutunun GENERIC 
ve NOGENERİC operand'larıyla kullanılabilir. Aşağıdaki örnek DATASET class için genel 


profil kontrolünün nasıl aktif edileceğini gösterir. 


SETROPTS GENERİC(DATASET) 


İpucu: Eğer birden çok kaynakların korunması gerekiyorsa, yönetimi kolaylaştırmak için 
genel profil kullanımı önerilir. SETROPTS GENERİC(*) kullanılırken bu komutun bütün 


class'lardaki genel profilleri ve genel komutu işleme sokacağı hatırda tutulmalıdır. 
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SETROPTS NOGENERİC(classname) GENCMD(classname) 
komutunun kullanımı bakım yaparken faydalı olabilir. 
Global Erişim Tablosu 


& Global tablosu RACF'in performansı ile ilgilidir. 

&i Bütün kullanıcıların erişmeye izinli oldukları kaynaklarla ilgili kayıtlar global tabloda 
yer alır. 

& Erişimlere bu global tablo yardımıyla izin verilerek RACF veri tabanına 1/O 
yapılması önlenir. 

& Global erişim tablosu erişime engel olmak için kullanılmaz — bu tablo sadece 
erişime izin vermek için kullanılır. 


& Global erişim tablosu diğer yetki kontrollerinden önce kontrol edilir. 


Global erişim tablosuna girişler rastgele bir sıralamayla olur. RACF bu girişleri IPL 
sırasında RACF başlatılırken, en kısıtlayıcıdan en az kısıtlayıcıya doğru sıraya sokar. Eğer 
bir genel kaynak RACLISTed ise o zaman Global Tablo kullanılmaz. &RACGPID ve 
&RACUID girişleri sadece global tabloda kullanılabilirler. Dataset ve genel kaynak 
profillerinde kullanılamazlar. Global erişim — kontrol tablosunda kaynağın adı ve o kaynakla 
ilgili yetki seviyesi kayıtları vardır. Aşağıda Global Erişim Tablosunda yer alan bazı kaynak 


örnekleri gösterilmiştir. 


Eğer GLOBAL class aktif değilse, Entry Name kolonunda GLOBAL INACTIVE görünür. 


Eğer GLOBAL class aktif, fakat class için tanımlı bir member yoksa Entry Name kolonunda 
NO ENTRIES görünür. 


CLASS ACCESS ENTRY 

NAME LEVEL NAME 

DATASET READ BMUSER.GENERIC. * 
READ IE 
READ KAYHAN.PDS.CNTL 
UPDATE SYSI.BROADCAST 
READ &RACGPID. SOURCE 
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ALTER &RACUID.* 
NONE SYSI.DUMP5353 
NONE SYSI.HASP* 
NONE SYSI.LINKLIB 
NONE SYSI.LPECEB 
DASDVOL NO ENTRIES -—— 
TAPEVOL NO ENTRIES —— 
TERMINAL NO ENTRIES -— 
APPL NO ENTRIES -—— 
TIMS NO ENTRIES -—— 
AIMS NO ENTRIES —— 
TICICSTRN NO ENTRIES -—— 
PCICSPSB NO ENTRIES -—— 
GMBR NO ENTRIES -—— 
DSNR NO ENTRIES -— 
FACILITY NO ENTRIES — 


Global Erişim Kontrolünü Aktif Etmek (GLOBAL) 


RACF, seçilen kaynaklar için, RACF yetkilendirme kontrolünün performansını artırmak için 
RACF global erişim kontrolü - g/obal access checking özelliğini kullanma imkânı verir. Global 
erişim kontrolü, sık erişilen public kaynaklar için kullanılacaktır. Global erişim kontrol 


tablosunun bakımı bellekte yapılır. Global Tabloyu aktif etmek için: 
SETROPTS GLOBAL(DATASET) GENERIC(DATASET) 


komutuyla ya da ISPF RACF panellerinden SYSTEM SECURITY OPTIONS ekranından 
yapılır. Eğer global tabloda genel (generic) isimlerin kullanılması planlanıyorsa, genel 
işlemenin aktif edileceğinden emin olunmalıdır. Global Tablo aktif edildikten sonra, bu 
tabloya profiller tanımlanır. 


Profiller tanımlanırken: 


& Global tablodaki bir class'ın ilk kaydını girmek için RDEFINE komutu kullanılır. 
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RDEFINE GLOBAL DATASET ADDMEMK('&RACUID.* / ALTER) 

&s Sonraki bütün kayıt girişleri için RALTER komutunu kullanılır. 
RALTER GLOBAL DATASET ADDMEM('SYS1.* / READ) 
RALTER GLOBAL DATASET ADDMEM('SYS1.BRODCAST'/ UPDATE) 


Global tabloya yeni kayıtlar girildiğinde tablo yenilenene kadar yeni girişler etkili 
olmayacaktır. Ancak SETROPTS komutu REFRESH parametresi ile girilirse, RACF global 
tabloyu yenileyecek o zaman yeni girişler aktif olacaktır. 

SETROPTS GLOBAL (DATASET) REFRESH 


Bellekteki Profili İşleme koymayı Aktif Etmek (RACLIST ve GENLIST) 


Bellekteki profiller RACF veri tabanının verimini maksimuma çıkarmak için yöneticiye 
yardım edebilir. RACF bellekteki profilleri aktif etme olanağı sağlamaktadır. Bunun için 
SETROPTS komutu GENLIST ve RACLIST operandları ile kullanılır. 


SETROPTS RACLIST işlemi 


SETROPTS komutunda RACLIST öoperandı genel ve discrete profillerin base 
segmentlerini RACF veri tabanından belleğe kopyalar. Profil kopyaları kendi veri alanlarına 
konur. Base segmentlerin dışındaki segmentler veri alanına yüklenmez. RACF bu profil 
kopyalarını onlarla korunan bir kaynağa erişmek isteyen her hangi bir kullanıcının yetkisini 


kontrol etmek için kullanır. 


SETROPTS RACLIST komutu genel kaynak class'ında sık başvurulan profillerin 
bulunduğu ve global erişim kontrolünün kullanılamadığı zamanlarda kullanılır (yani 
kaynaklara erişim izni herkese verilmez). RACLIST işlemini aktif etmek için, kullanıcının 
SPECİAL niteliği olmalıdır. Genel kaynak class'ı SETROPTS RACLIST komutundan önce 
aktif olmalıdır. Eğer class aktif değilse, istenilen class'ında aktif edilmesini sağlayan 


aşağıdaki komut kullanılır. 


SETROPTS RACLIST(classname...) CLASSACT(classname...) 
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Bir genel kaynak class'ı için SETROPTS RACLIST işlemi aktif edildiği zaman, RACF 
belirtilen class için discrete ve generic profillerin her ikisini de ortak belleğe kopyalar. 

Bu profilleri bütün yetkili kullanıcılar kullanabilir, dolayısıyla bu profilin koruduğu kaynağa 
kullanıcının erişim talebi olduğunda her seferinde RACF'in profili veri tabanından getirmesi 
gerekmez. Sonuç olarak bu fonksiyon aktif edildiğinde RACF'in işlem yükü azaltılmış olur. 


Örnek: FACILITY class'da yapılan değişiklikleri aktif etmek isteyelim: 


& Eğer FACILITY class o an aktif değilse, FACILITY class'ı RACLIST operandı ile 
aşağıdaki şekilde aktif etmeliyiz. 


SETROPTS CLASSACT(FACILITY) RACLIST(FACILITY) 


# Eğer FACILITY class zaten aktifse, ozaman FACILITY class'ı REFRESH etmeliyiz. 
SETROPTS RACLIST(FACILITY) REFRESH 


Bellekteki Profilleri REFRESH Etmek 


Bellekteki profiller RACF veri tabanının verimini artırmada etkili olabilir. Eğer kuruluş 
SETROPTS RACLIST ya da SETROPTS GENLIST komutuyla kaynak profillerin 
kopyalarını bellekte koruyorsa, SETROPTS RACLIST REFRESH ya da SETROPTS 
GENERIC REFRESH komutu verilene kadar profillerde yapılan değişiklikler etkili olmaz. 


Aşağıdaki örnekte TSOPROC ve TSOAUTH class'ları için SETROPTS RACLIST 
komutunu kullanarak profillerin nasıl aktif edildiğine bakalım. Belli TSO kaynakları RACF 
ile korunabilir. Bu kaynaklar TSO logon prosedürleri, hesap numaraları ve performans 
gruplarını içerir. Buna ilaveten, bir kullanıcının belli TSO komutlarını vermeye yetkili olup 
olmayacağını belirleyen TSO kullanıcı yetkileri denilen kaynaklar da RACF ile korunabilir. 
TSO kullanıcı yetkilerine örnekler ACCT, JCL, MOUNT, OPER, RECOVER, 
PARMLIB,TESTAUTH ve CONSOLE dur. 


Kullanıcı profillerinde TSO segmentleri tanımlanmışsa, bu TSO kaynakları aşağıdaki genel 


kaynak class'ları kullanılarak korunmalıdır: 
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TSOPROC (TSO logon prosedürlerini korumak için) 
ACCTNUM (TSO hesap numaralarını korumak için) 
PERFGRP (TSO performans gruplarını korumak için) 
TSOAUTH (TSO kullanıcı yetkilerini korumak için ) 


1. Önce class'ların aktif olup olmadığı kontrol edilmelidir. Eğer class'lar aktif değilse 


aşağıdaki komutla aktif edilir: 


KAYHAN 


profili tan 


SETROPTS CLASSACT(TSOPROC ACCTNUM PERFGRP TSOAUTH) 


kullanıcısına TSO segmenti içeren bir kullanıcı 


ımladığımızı 


varsayalım. 


ii Eğer oTSOPROC 


ve ACCTNUM 


class'ları aktif edilmezse, 


KAYHAN kullanıcısı TSO'ya logon olamaz, çünkü RACF Kayhan'ın 


logon prosedürü kullanmaya yetkili olup olmadığını ve logon 


panelinde hesap 


kontrol edemez. 


numarasının 


ki TSO segmenti içeren profi 


belirtilip belirtilmediğini 


TSOPROC ve ACCTNUM class'ları aktif olmalı 


Fillerin kullanıcıları TSO ya 


logon olabilsinler. Ancak, logon panelinden performans grubu 


silinirse KAYHAN kullanıcısı TSO'ya logon olabilir. 


ig Eğer TSOAUTH class'ı aktif edilmezse, KAYHAN kullanıcısı TSO'ya logon 
olabilir fakat kendisine JCL ya da MOUNT gibi TSO kullanıcı yetkileri verilemez. Bu 
nedenle TSOAUTH class'ı aktif edilmeli ve KAYHAN'ın TSOAUTH  class'taki uygun 


kaynaklara erişmesi için READ yetkisi olmalıdır. 


2. TSO kaynaklarını korumak için profiller oluşturulur. TSO'ya logon olmak için 
KAYHAN kullanıcısının kullanacağı prosedür IKJVBT dur. Bu prosedürün RACF'e 


tanımlanması gerekir. Aşağıdaki komutla IKJVBT logon prosedürü 


3. TSOPROC kaynak class'ına tanımlanır ve UACC READ yetkisi verilir. (ACC 


READ tüm kullanıcılara logon prosedürü kullanabilme yetkisi veren bir yetkidir.) 


RDEFİNE 


TSOPROC IKJV 
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Bir TSO kaynağını korumak maksadıyla bu kaynağa sınırlı sayıda 


olarak 


kullanıcının erişmesi isteniyorsa, bu kaynak UACC(NONE 


— 


tanımlanır. Sonra sadece kaynağa erişmesi gereken kullanıcıların 


bulunduğu bir erişim listesi oluşturulur. 


Örneğin IKJVBT logon prosedürü UACC(NONI 


LE) 


) olarak tanımlanmak 


istenirse aşağıdaki komut girilir: 


RDEFİINE TSOPROC IKJVBT UACC(NONE 


— 


TSO kaynakları için profiller oluşturulurken şunlara dikkat edilir: 


& ACCTNUM class'ı için, profil ismi 39 karaktere kadar uzunlukta olabilir. ACCTNUM 


class'ta en az bir profil oluşturulmalıdır. 


& TSOPROC class'ı için, profil ismi logon prosedürün ismi 


olmalıdır (hiç bir generic karakter kabul edilemez). 


Kullanıcıların ve grupların TSO kaynaklarını kullanmasına izin vermek için PERMIT 
komutu kullanılır. Örneğimizde IKJVBT prosedürüne UACC(NONE) verilmiş olsaydı, o 
zaman KAYHAN kullanıcısının TSO kaynaklarını kullanmasına izin vermek için aşağıdaki 


komut girilmeliydi: 


PERMIT IKİJVBT CLASS (TSOPROC) ID(KAYHAN) ACCESS (READ) 


4. TSO genel kaynak class'larını aktif etmek için SETROPTS 
RACLIST aktif edilir: 


(dp! 


ETROPTS RACLIST(TSOPROC ACCTNUM PERFGRP TSOAUTH) 


Not: Eğer SETROPTS RACLIST işlevi TSO genel kaynak class'ları için 


hali hazırda aktifse, SETROPTS RACLIST işlevinin refresh edilmesi 


gerekmektedir: 


SETROPTS RACLIST(TSOPROC ACCTNUM PERFGRP TSOAUTAR) REFRESH 
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Aşağıda KAYHAN kullanıcısının TSO segmenti örnek olarak gösterilmiştir: 


ISO INFORMATIONS 
ACCTNUM- ACCT123 


HOLDCLASS— X 
LASS- A 


LASS- X 


7 
A 
BE 


E- 00000000 
SYSOUTCLASS- X 
USERDATA- 0000 
COMMAND 


Aşağıda bir TSO LOGON paneli örnek olarak gösterilmiştir 


WE LOGON 


Enter LOGON parameters below: RACF LOGON parameters: 


Userid -——> KAYHAN 

Password —--> New Password —-—> 
Prosedür ---> IKJVBT Group Ident >—--> 
Acct Nmbr >--> ACCT123 

Size ---> 2096128 

Perform ———> 

Command >——> 


Enter an 'S' before each option desired below: 
—Nomail —Nonotice —Reconnect —OIDcard 


PFI1/PF13 --> Help PF3/PF15 -—-> Logoff PAl --> Attention PA2 --> Reshow 


You may reguest specific help information by enteringa '?' in any entry field 
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SETROPTS GENLIST İşlemi 


Sayıca az olup sık başvurulan generic profillerin genel kaynak class'ları için, SETROPTS 
GENLIST işlemi aktif edilir. - SETROPTS GENLİST işlemi aktif edildiğinde, belirtilen 
class'lar için bellekteki generic profillerin paylaşılması mümkün olur. 

Bu fonksiyonu aktif etmek için ; 

SETROPTS GENLIST(classname) 


komutu kullanılır, burada classname aşağıdakilerden biridir: 


# Class tanımlayıcı tablosunda (CDT) belirtilen class üyesi 
& RACFVARS ya da NODES class grupları 


RACE, kendi class tanımlayıcı tablosundaki (CDT) girişleri aynı POSIT değerini paylaşan 
tüm class'ları ve class adını işler. Aşağıdaki örnek SETROPTS GENLIST işleminin 
TERMİNAL class'ı için nasıl aktif edileceğini göstermektedir. 


SETROPTS GENLIİST(TERMINAL) 


Genel kaynak class'ı için SETROPTS GENLIST işlemi aktif edildikten sonra, RACF bu 
class'taki bir generic profili RACF veri tabanından ortak belleğe kopyalar. Profil tüm yetkili 
kullanıcıların kullanabilmesi için ortak bellekte kalır, dolayısıyla ortak bellekte aynı profilin 
birden çok kopyasını (her isteyen kullanıcı için bir kopya) tutma ihtiyacı ortadan kalktığı için 
Real bellekten tasarruf sağlanmış olur. Bunun yanı sıra, RACF profili bir kullanıcı ona 
erişmek istediği zaman her defasında veri tabanından getirmeyeceği için (ooverhead 


işlemeden tasarruf edecektir. 


Bu class için SETROPTS GENLIST işlemini aktif etmeden önce genel kaynak class'ı aktif 
edilmelidir. Aşağıdaki örnek TERMINAL class'ı için SETROPTS GENLIST kullanılarak nasıl 


aktif edileceğini göstermektedir. 


SETROPTS CLASSACT(TERMINAL) GENLIST(TERMINAL) 
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Genel Kaynak Profilleri Oluşturmayı Engellemek (GENERICOWNER) 


SPECİAL niteliğine sahip bir kullanıcı, genel kaynak class'larında profil oluşturulmasını 
engelleyebilir. Bunu yapmak için: 

1. SETROPTS GENERICOWNER komutunu girer. 

2. sahibinin kendisi olduğu class'a ** profili tanımlar 

3. Her bir kullanıcı için kullanıcının oluşturmasına izin vereceği class'ta kaynakların alt 


kümesini de içine alacak bir top profil tanımlar. 


Yukarıdaki üç maddenin yerine getirilmesiyle, kullanıcının top profilinden çok daha özel 
profiller oluşturabileceği bir ortam oluşturulmuş olur. Sadece aşağıdaki niteliklere sahip 


diğer kullanıcılar, kullanıcının class alt kümesinde profiller oluşturabilirler: 


yi SPECİAL yetkisine sahip bir kullanıcı 
Ün kendi top profili üzerinde grup-SPECİAL yetkisine sahip bir kullanıcı 


Top profil bir yıldız (*), çift yıldız (**) ya da bir veya daha çok yüzde işareti (90) ile bitmelidir. 
Örneğin, ne ACIKGÖZ ne de ABDULK SPECİAL ya da group-SPECIAL niteliği olmayan 
kullanıcılar olsunlar. Eğer GENERICOWNER seçeneği aktifse ve kullanıcı ABDULK 
NODEA.ABDULK.*, isimi bir JESSPOOL profilinin (o sahibiyse, ACIKGÖZ 
CLAUTH(JESSPOOL) niteliğine sahip olsa bile, NODEA.ABDULK.DATA.* profilini 


oluşturamaz. 


Not: GENERICOWNER operandı, DATASET class'a etkili değildir. Tek tek class'ları aktif 
edemez. Aktif olduğu zaman, PROGRAM class ve genel kaynak gruplu class'lar hariç, 
bütün genel kaynak class'lar için etkili olurlar. GENERICOWNER özelliğini kullanım dışı 
bırakmak için: SETROPTS komutunun NOGENERICOWNER operandı kullanılır. 


Erişim Listesinden Kullanıcı ID'nin Otomatik Çıkarılması (NOADDCREATOR) 
SETROPTS komutunun ADDCREATOR ve NOADDCREATOR operandları kullanıcıya 
ALTER yetkisiyle bir kaynak profili tanımlayan kişinin kullanıcı kimliğinin otomatik olarak 
erişim listesinde yer alıp alamayacağına izin verir. Komut: 

SETROPTS NOADDCREATOR 


Bu komut profili oluşturan kullanıcı ID'sinin erişim listesinde yer almayacağını bildirir 
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2.48 Vekil Kullanıcı (Surrogate User ID) 


Vekil kullanıcı, job çalıştıran (execution) kullanıcının parolasını belirtmeden, job çalıştıran 


(execution) kullanıcısı adına iş gönderme yetkisi olan RACF tanımlı bir kullanıcıdır. 


Vekil kullanıcı tarafından gönderilen işler, execution kullanıcısının kimliğiyle çalışır. 
Örneğin, JALE kullanıcısı aşağıdaki JOB deyimiyle bir iş gönderirse, JALE vekil kullanıcı 
ve KAYHAN yürütme (execution) kullanıcısıdır: 


Wobname JOB 'accounting-information”,USER-KAYHAN 


Önemli: Vekil kullanıcıya, yürütme kullanıcısı kadar güvenilir olmadığı sürece, başka bir 
kullanıcının vekil kullanıcı olarak davranmasına izin vermemelidir. Bunun nedeni, vekil 
kullanıcının yürütme kullanıcısının yapabileceği her şeyi yapabilmesidir (vekil kullanıcı bir 


kaynağı koruyan bir güvenlik etiketine erişemediği sürece). 


Vekil kullanıcı, JOB deyimindeki USER parametresinde yürütme kullanıcısının kullanıcı 
kimliğini belirtmeli ve bir parola belirtmemelidir. PASSWORD parametresi bir parola ile 
belirtilirse, vekil işlemi gerçekleştirilmez ve işin faaliyetleri tarafından oluşturulan denetim 


kayıtları, işin vekil bir iş olduğunu göstermez. 
Vekil kullanıcılara izin vermek için aşağıdakilerin yapılması gerekir: 
1. $SUBMIT.userid profillerini SURROGAT profillerine aşağıdaki gibi kopyalamalısınız: 


RDEFINE SURROGAT execution-userid. SUBMIT 
FROM($SUBMIT.execution-userid) FCLASS(FACILITY) 


2. Başkalarının vekil kullanıcı olmasına izin vermesi gereken her yürütme kullanıcısı 


için SURROGAT sınıfındaki kaynak profillerini tanımlayın: 
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RDEFINE SURROGAT execution-userid. SUBMIT VACC(NONE) OWNER'f/execution- 


userid) 


Not: OWNER operandının belirtilmesi, yürütme kullanıcısının bu profil için PERMIT 


komutunu vermesine izin verir. 


3. Başka bir kullanıcının bir yürütme kullanıcısı için vekil olarak hareket edebileceğini 


belirtmek üzere, vekil kullanıcıya READ erişim yetkisini verin: 


PERMIT execution-userid. SUBMIT CLASS(SURROGAT) ID(surrogate-userid) 
ACCESS(READ) 


4. Yalnızca READ erişim yetkisine sahip kullanıcılar ve grupların başka bir kullanıcı 
adına iş göndermesine izin verilir. Bir kullanıcının başka bir kullanıcı için iş gönderip 
gönderemeyeceğini kontrol etmek için, kullanıcının (veya kullanıcının üyesi olduğu 


bir grubun) READ erişim yetkisine sahip erişim listesinde olduğundan emin olun: 


RLIST SURROGAT execution-userid.SUBMIT AUTHUSER 


5. SURROGAT profillerini kullanarak erişimi kontrol etmeye hazır olduğunuzda 
SURROGAT class'ı aktif edin: 


SETROPTS CLASSACT(SURROGAT) 


Surrogate job submiti için protected user ID'ler Kullanma 


Vekil kullanıcı kimlikleri ve yürütme kullanıcı kimlikleri, protected kullanıcı kimlikleri olarak 
tanımlanabilir. Protected bir kullanıcı kimliğiyle yürütülen started procedure veya iŞ, İş 
ifadelerinde USER — belirtilen işleri göndermeye yetkilendirilebilir. Protected kullanıcı 
kimliğiyle yürütülmeyen bir started procedure veya iş, protected kullanıcı kimlikleriyle 
yürütülen işleri gönderme yetkisine sahip olabilir. 
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2.49 Yetki kontrolü ile ilgili seçenekler 


Grup Listesine Göre Kontrolü Aktif Etmek (GRPLIST) 


RACF'e tanımlanmış kullanıcı, farklı RACF gruplarının bir üyesi olabilir. Bu özellik, tüm 
sistem kullanıcılarının erişim kontrolünü grup listesine göre yaparak yetkilendirmeyi bu 


kontrole göre işleme almayı belirtir. 


GRPLIST operandı kullanıldığı zaman, kullanıcının kaynağa erişmek ya da kaynağı 
tanımlamak için kullandığı SETROPTS yetkisi sadece kullanıcının o anda bağlı olduğu 
grubun yetkisiyle sınırlı değildir; erişim kullanıcının bağlı olduğu herhangi bir grubun 
yetkisine dayanır. Eğer yüksek erişim hakkına sahip bir kullanıcı o anda bağlı olduğu 
grubun yetkisine dayalı olarak erişim yapacak olsa pek çok kaynağa erişemeyecek 
olabilir, fakat erişimi o anda bağlı olduğu grubun yetkilerine göre değil de grup listesine 
göre yapılırsa kullanıcı erişim listelerinden en yüksek hakka sahip olduğu yetkiyle kaynağa 


erişecektir. 
NOGRPLIST 


Kullanıcının bir kaynağa erişim yetkisinin kullanıcının o anda bağlı olduğu grubun yetkisiyle 
sınırlı olduğunu belirtir. NOGRPLIST RACF veri tabanı ilk kurulduğunda etkilidir. 


Not: Eğer grup listesine göre kontrol özelliği devreye girerse ve kullanıcı birden fazla 
grubun üyesiyse ve bir kaynağa erişmeyi deniyorsa, RACF kullanıcının üyesi olduğu 


gruplar içinden ve kaynak erişim listesinden sahip olduğu en yüksek yetkiyi kullanır. 


İpucu: GRPLIST seçeneğinin kullanılmasını öneriyoruz. oEğer NOGRPLIST aktifse, 
yüksek yetkiye sahip olan bir kullanıcı birden fazla grubun üyesi olabileceğinden, o anda 
logon olduğu grubun yetkisi düşükse, bu grubun yetisiyle hakkı olan yüksek yetki 
gerektiren bir işlem yapmak istediğinde logoff olup daha yüksek yetkili grupla tekrar logon 
olması gerekecektir. Fakat GRPLIST özelliği aktifse, tekrar logon olmasına gerek 


kalmayacaktır. Bu özellik güvenlik yönetimini kolaylaştırıcı bir özelliktir. 
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Program Kontrolünü Devreye Almak (WHEN(PROGRAM)) 


PROGRAM genel kaynak class'ı ile kullanılan bazı özellikler vardır. Bunlardan birisi 
SETROPTS komutu yardımıyla program kontrolünün nasıl aktif edileceğidir. Bu özelliği 


kullanmak için 
SETROPTS WHEN(PROGRAM) 


komutu kullanılır. Program kontrolü aktif olduğu zaman, RACF load modüllere, ve program 


erişim setlerine, SERVAUTH kaynaklarına erişim kontrolü sağlar. 


Load modüllere erişim kontrolü sadece yetkili kullanıcıların belirtilen load modülleri 
(programları) yüklemelerine ve çalıştırmalarına izin verir. RACF PROGRAM genel kaynak 
class'ında programlara erişim kontrolü yapmak için profiller kullanır. 

SERVAUTH bir istemcinin sunucuyu ya da sunucu tarafından yönetilen kaynakları 


kullanma yetkisini kontrol etmek için sunucular tarafından kullanılan profilleri içerir. 


Dataset'lere program ile erişim, kullanıcının belli bir programı çalıştırma yetkisiyle 
bağlantılı olarak yetkili olan kullanıcı yada kullanıcı grubuna belirli dataset'lere erişme izin 
sağlar. Yani, bazı kullanıcılar sadece belirli bir programı çalıştırırken belirtilen erişim 


seviyesinde belirtilen dataset'lere erişebilirler. 


SERVAUTH class kaynaklara program erişimi yetkili bir kullanıcı ya da kullanıcılar grubuna 
kullanıcının belli bir programı çalıştırma yetkisiyle bağlantılı olarak belirli bir IP adresine 
erişime izin verilmesidir. Yani, bazı kullanıcılar belirli bir programı çalıştırırken sadece 


belirtilen erişim seviyesinde belirtilen IP adreslerine erişebilirler. 
RACE veri tabanı ilk kurulduğunda NOWHEN(PROGRAM) seçeneği etkilidir. 
Terminal Kontrolünü Aktif Etmek (TERMINAL(READ/NONE)) 


RACF terminallerin kullanımını kontrol etmek için TERMINAL genel kaynak class'ını 
kullanır. Sistem çaplı TERMINAL(READ) ya da TERMINAL(NONE) seçeneği tanımsız 
terminallerle ilgili evrensel! erişim yetkisini (UACC) ayarlamak için kullanılır. 


SETROPTS CLASSACT(TERMINAL) TERMINAL(READ) 
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Bu komut RACF'teki kaynağın TERMINAL class'ını sistem çapında aktif etmeye yarar. 
Terminallere erişimi kontrol etmek için RACF kullanan bütün alt sistemler bu 

komut verildiğinde artık terminal kontrolünü aktif etme yetkisine sahiptirler. TERMINAL 
operandının READ seçeneği RACF'e tanımlı olmayan terminallerin RACF'te nasıl ele 
alınacağını gösterir. READ, eğer RACF terminalle ilgili bir profil bulamazsa, terminale 
erişime yine de izin verileceğini belirtir. İstenilmeyen terminallerden login olunmasını 


engellemek için, 
SETROPTS TERMINAL(NONE) komutu girilir. 


Dikkat: NONE seçeneğini kullanmadan önce RACF'e bir kaç terminalin tanımlı olduğunda 
ve bu terminalleri kullanmaya yetkili uygun kullanıcı ve grupların tanımlı olduğundan emin 


olun. Aksi takdirde, sisteme hiç kimse logon olamayabilir. 


2.50 DASD VOLUME İŞLEYİŞİ 


Pek çok işlemler DASD volume'leri üzerinde yapılmaktadır. Genel olarak, DASD 
volume'leri üzerinde bu işlemler operasyon personeli ya da destek grubu personeli 
tarafından yapılmaktadır. Ancak, eğer DASD dataset'leri RACF - korumalıysa volume'ler 
üzerinde işlemler yapmak için gerekli yetkiler bir kişiye nasıl verilmelidir?. Veri güvenliği 


açısından, volume işlemleri nasıl izlenmelidir?. 


a. SYSRES 
/ SCRATCH 
i/  DUMP 
. O REORG 
"| RESTORE 
A INIMALIZE 
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VOLUNE ERİŞİMİ 


DASD volume'leri üzerinde yapılan işlemler, genel olarak DFDSS, ICKDSF ve SCRATCH 
programlarını kullanarak, DASD volume'lerinin INITECEZE edilmesi, 

DUMP, Fiziksel ve Logical yedeklerin alınması, RESTORE işlemlerinin yapılması, 
SCRATCH edilmesi gibi işlemlerdir. 


Bir kullanıcıya volume işlemlerini yerine getirirken kullanması gereken yetkileri vermenin 
bir yolu, bu kullanıcıyı bütün dataset'ler için erişim listesine koymaktır. Bu şüphesiz 
devasa bir yönetim işi gerektireceğinden pratik değildir. RACF bu işlemin kolay yapılması 


için iki yöntem sağlar: 


- OPERATIONS kullanıcı niteliği 
- DASDVOL yetkisi 


OPERATIONS Kullanıcı niteliği 


Kullanıcı OPERATIONS kullanıcı niteliğine sahip olduğunda, bütün dataset'ler üzerinde 
DEĞİŞİKLİK (ALTER) yapma — her hangi bir dataseti okuma, değiştirme, yeniden isim 
verme, scratch etme yetkisine sahip olur. OPERATIONS niteliği kullanıcıyı daha düşük bir 
erişim yetkisi olan bir listeye koyarak geçersiz kılınabilir. Fakat bu volume üzerinde işlemler 
yapmasını engeller. Güvenlik açısından OPERATIONS niteliği vermek en iyi çözüm 


değildir. 
DASDVOL yetkisi 


DASDVOL class'ında tanımlanan bir profil aracılığıyla DASD'lere erişim hakkı verilen bir 
kullanıcı, sadece DFDSS, ICKDSF ya da SCRATCH fonksiyonlarını kullanacağı zaman 
dataset'lere erişebilir. Kullanıcıya DASDVOL yetkisi belirli volumeler ya da tüm volume'ler 


için verilebilir. Kullanıcı sadece belirli tip volume işlemleri için kısıtlanabilir. 
DASDVOL Örnekleri 
DASDVOL class'ı aktif etme komutu: 


SETROPTS CLASSACT(DASDVOL) GENERIC(DASDVOL) 
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Tüm volume'ler için bir profil tanımlamak: 
RDEFINE DASDVOL * UACC(NONE) 
PERMIT * CLASS(DASDVOL) ID(VOLMGT) ACCESS(ALTER) 


Bu örnekte kuruluş, volume yönetiminden sorumlu olan VOLMGT grubundaki bütün 
kullanıcılara tüm volume işlemlerini yapması için yetki vermeyi kararlaştırmıştır. Bu kararı 
uygulamak için güvenlik yöneticisi DASDVOL class'ı aktif eder. * ismiyle generic 
DASDVOL profilinin (belirtilmesi DASDVOL yetkisinin tüm DASD volume'lerini 
kapsamasına neden olur. Son komutta belirtilen ALTER erişim yetkisi VOLMGT grubunun 
üyelerine her hangi bir dataset'in scratch edilmesi ve DFDSS ve ICKDSF'in tüm 


fonksiyonlarının kullanılabilmesi iznini verir. 
DASDVOL Örneği (2) 


SETROPTS CLASSACT(DASDVOL) GENERIC(DASDVOL) 

RDEF DASDVOL DB ooo UACC(NONE) 

PE DB40090 CLASS(DASDVOL) ID(DBMGR) ACCESS(ALTER) 
PE DB0909090 CLASS(DASDVOL) ID(OPER3) ACCESS(UPDATE) 


ERİŞİM LİSTESİ 


OPER3 / UPDATE 


DASDVOL yetkisi, kullanıcıların sadece belirli işlemleri yapmalarına izin vermek için 
kullanılır. Örnekte veri tabanı yöneticisine veri tabanı volume'leri üzerinde herhangi bir 
DFDSSS ya da |ICKDSF işlemini yapma yetkisi verilmekte ve üçüncü vardiya 
operatörlerine (grup OPER3) herhangi bir dataset'in dump'ını alma ya da restore etme 
yetkisi verilmektedir. 


RDEFINE DASDVOL * UACC(NONE) 
PERMIT * CLASS(DASDVOL) ID(OPER3) ACCESS(UPDATE) 
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Güvenlik yöneticisi eğer aktif değilse DASDVOL class'ı ve generic işlemleri aktif eder. 
DB ismiyle bir generic DASDVOL profilinin belirtilmesi veri tabanı volume'lerini 
korumuş olur. * ismiyle ikinci bir generic profil ismi belirtilmesi korumanın tüm DASD 
volume'leri için geçerli olduğunu belirtir. Bu volume'lerin DUMP'ını almak ya da restore 
etmek için DB4990“0 profilinin erişim listesinde OPER3 grubu yer almalıdır. 


2.91 Teyp'lerin Korunması ile ilgili seçenekler 


İri Teyp Volume Korumasını Aktif Etmek (TAPEVOL ) 
ee Teyp Dataset Korumasını Aktif Etmek (TAPEDSN) 
e Teyp Dataset'leri için bir Güvenlik Koruma Süresi Belirlemek (RETPD) 


Teyp Volume Korumasını Aktif Etmek (TAPEVOL ) 


TAPEVOL genel kaynak class'ı teyp volume'lerini kontrol etmek için kullanılır. Erişimin 
dataset seviyesinde değil, volume seviyesinde kontrol edildiğine dikkat ediniz.. TAPEVOL 
profili RDEFINE komutu ile ya da aşağıda örneği gösterilen RACF — GENERAL 
RESOURCE SERVİCES (2 numaralı seçenek) panelleri ile tanımlanır. TAPEVOL profil 
adının teyp volume'unun volume serial numarası olduğuna dikkat ediniz. Teyp volume 
korumasını aktif etmek için SETROPTS komutunun CLASSACT(TAPEVOL) operandı 


kullanılır. 


SETROPTS CLASSACT(VOLUME) 


Teyp volume koruması aktif edildiği zaman, RACF kullanıcının teyp volume'une erişim 
yetkisini onaylayıp, TAPEVOL class'taki profillere başvurur. Eğer TAPEVOL class ve 
TAPEDSN'in her ikisi de aktifse, RACF TAPEVOL ve DATASET class'ın her ikisindeki 
profilleri de muhafaza eder. Bu iki profil içindeki veri alanları iki profilin birbirine link 
etmelerini sağlar (TAPEVOL profilindeki dataset adı ve discrete dataset profilindeki volume 


serial) . 
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Aşağıdaki örnekte bir teyp volume'unun nasıl korunduğu gösterilmektedir. Örnekte sadece 
iki kullanıcı bu volume'e erişebilir — ALTER erişimine sahip ACARS kullanıcısı ve READ 
erişimine sahip MERYEM kullanıcısı. 


Teyp Dataset Korumasını Aktif Etmek (TAPEDSN) 
VOL1 HDR1 EOF1 HDR1 EOF 


DATA DATA 
123456 ACARS.A ACARS.A (ACARSX.Y ACARS.X.Y 


TEYP VOL 
123456 


RACF DB 
NAME | ÖWNER | YALE ERİŞİM LİSTESİ l 
ACARS SALTER | 
123456 ACARS NONE 
İ MERYEM » READ 
TEYP VOLUME 
123456 


Teyp dataset koruması SETROPTS komutunun CLASSACT(TAPEDSN) operandı 
kullanılarak aktif edilebilir. 


SETROPTS CLASSACT(TAPEDSN) 


» Aynı generic profiller hem teyp hem de DASD dataset'lerinin her ikisi için erişim 
kontrolünde kullanılabilir. 

» ADDSD TEYP discrete profillere izin verir. 

» TAPEVOL profili bu yüzden seçimlidir fakat teyp volume tablosunun bileşenleri 
(TVTOC) yardımıyla bütünlüğü sağladığından TAPEVOL profilin kullanılması 
önerilir. 

»e TVTOC'un içeriği: 

* 44 — karakter sdatasetadı 


* Teyp volume seri numarası 
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. Birbirini takip eden dosya numarası 
* Datasetin oluşturulduğu tarih 
' Budataset'in bir discrete dataset profili tarafından korunup korunmadığını 


gösteren belirteç. 


Kullanıcı bir teyp işi çalıştırdığında, İşin JCL'inde TEYP adımında işin niteliğine göre şu 


bilgiler olabilir; 


/TAPE DD..... DISP-(NEW,CATLG),VOL-SER-SCRTCH, 
// PROTECT-YES 


İş çalışmaya başladığında TAPE adımına gelindiğinde, VOL—SER-SCRTCH tanımlandığı 


için konsola operatörün boş bir teyp takması mesajı gelir. 
Operatör teyp'i takar, RACF: 


Kullanıcının dataset ayırma yetkisinin olup olmadığını kontrol eder 
Bir TAPEVOL profili oluşturur 

Kullanıcıyı owner yapar 

UACC'yi NONE yapar 

Kullanıcıyı TAPEVOL erişim listesine ALTER olarak koyar 
TVTOC'a bir kayıt girer 

Bir discrete dataset profili oluşturur. 


LEtCEOCOCE 


Var olan generic profillerden dataset'e erişimi kontrol eder. 
Teyp Dataset'leri için bir Güvenlik Koruma Süresi Belirlemek (RETPD) 


RACF güvenlik koruma süresi bir teyp dataseti için RACF korumasının ne kadar süre 
geçerli kalacağını belirten gün sayısıdır. RACF gün sayısını teyp dataset profilinde tutar. 
Eğer RETPD belirtilmişse, TAPEDSN özelliği de aktif edilmelidir. Örneğin güvenlik koruma 


süresinin 365 gün olması isteniyorsa: 


SETROPTS RETPD(365) 


komutu girilir. 
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2.52 TSO Genel Kaynak Class'ları 


RACF SEGMENTİ TSO SEGMENTİ 


SETROPTS CLASSACT(TSOPROC ACCTNUM PERFGRP TSOAUTH) 


RACE erişimi kontrol etmek için aşağıdaki class alanlarını kullanır: 


ACCTNUM DEST HOLDCLASS DEST HOLDCLASS JOBCLASS PROC 
MAXSIZE o MSGCLASS SECLABEL SIZE SYSOUTCLASS UNIT USERDATA 


TSO bilgisine erişmek ve yönetmek için beş RACF genel kaynak class'ı kullanılır. Bu 


class'lardan dördü aşağıdaki gibi tanımlanır: 


ar TSO kullanıcılarının belirli bir account number kullanarak logon olmasına izin 


vermek için ACCTNUM class'da profiller tanımlanması. 


İri TSO kullanıcılarına belirli bir logon prosedürü kullanarak logon olmasına izin 


vermek için TSOPROC class'da profiller tanımlanması. 


ae TSO kullanıcılarına belirli performans grup kullanarak logon olmasına izin vermek 


için PERFGRP class'da profiller tanımlanması. 


isi TSO kullanıcılarının JCL, OPER, MOUNT, ACCT ya da RECOVER yetkilerine sahip 


olması için TSOAUTH class'da profiller tanımlanması. 
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UADS'i RACF'e Taşımak 


TSO geleneksel olarak kullanıcı bilgisini SYS1.UADS olarak isimlendirilen bir dataset'te 
tutar. SYS1.UADS dataset'inde kayıtlı bir kullanıcı kaydı, bu kullanıcının TSO'ya logon 
olduğunda neler yapabileceğini gösterir. Eğer kullanıcı TSO'ya logon olduğunda bu 
kullanıcı için bir TSO segmenti tanımlanmamışsa, TSO kullanıcının oturum açabilmesi için 
gerekli bilgileri SYS1.UADS datasetinden kontrol eder. Eğer TSO SYS1.UADS'de 
kullanıcının bir kaydını bulamazsa, kullanıcı sisteme logon olamaz. Önerimiz, RACF'te 
TSO segmenti tanımlanmalı, kullanıcıların tümü SYS1.UADS'e kayıt edilmemelidir. 
Sadece olağanüstü durumlarda kullanılacak kullanıcı ID'ler SYS1.UADS'e kayıt edilmelidir. 
(En azından IBMUSER ve bir sistem programcısı önerilir). Bu, olağan üstü durumlarda 
kullanılacak kullanıcı ID'leri, RACF herhangi bir nedenle açılamazsa olağanüstü kullanıcı 


ID'lerinin TSO'ya logon olmasına izin verir. 


Bununla beraber bir kuruluş bütün TSO kullanıcı bilgisini SYS1.UADS'ten RACF veri 
tabanına taşıyabilir. O zaman, kullanıcıların TSO bilgisi RACF profilinin TSO segmentinde 
tutulacaktır. TSO kullanıcılarını RACF kullanarak yönetmenin pek çok esnekliği vardır. 
Eğer kullanıcıların TSO bilgileri RACF'e alınırsa, SPECİAL niteliğine sahip bir kullanıcı 
RACF de TSO kullanıcıları ve kaynaklarını yönetmek için hiç bir şey yapamaz. Sadece 
TSO yöneticisi RACF veri tabanında tutulan TSO bilgisini yönetebilir. TSO kullanıcısına 
kendi kullanıcı profillerinin TSO segmentlerinde belirli alanları görme ve hatta değiştirme 
yetkisi bile verilebilir. TSO segment bilgileri list user komutuyla görülebilir: 

-—-—> lu kayhan tso 


TSO INFORMATION 


ACCTNUM- ACCTI123 
HOLDCLASS- X 
JOBCLASS- A 


MSGCLASS- X 
PROCZ IKJVBT 
SIZE- 02096128 
MAXSIZE- 00000000 


SYSOUTCLASS- X 
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2.53 RVARYPW ve ilk kuruluşta kullanılan diğer 


seçenekler 


isi RVARY komutu — arka plan bilgisi 
:. Önem 
* Gerekli yetki 
RVARY parolalarını belirlemek (RVARYPW) 
JES2 ya da JES3 RACF Desteğini Aktif Etmek (JES) 
Varsayılan Ulusal Dili Belirlemek (LANGUAGE) 


Dataset Modellemesini Kontrol Etmek (Model) 


ocecc 


RVARY komutu — arka plan bilgisi 


RVARY komutunun önemi: 
RVARY komutu sistem programcıları için çok önemli bir komuttur ve RACF veri tabanına 
bakım yaparken kullanılır. RVARYPW, RVARY komutlarıyla istekte bulunulduğunda 


taleplere yanıt verilebilmesini onaylamak için operatörden istenen parola beyanıdır. 
RVARYP'W şu durumlarda kullanılır: 


SWITCH - SWİTCH işlemi RACF asıl datasetinin yedek datasetle değiştirilmesi işlemidir. 
RACF veri tabanı duplex mod'da çalıştırılmalıdır. Bu özellik RACF dataset isim tablosunda 
(I(CHRDSNT) asıl ve yedek dataset isimlerinin belirtilmesiyle sağlanır. Örneğin RACF veri 
tabanının asıl dataset ten yedek RACF datasetine değiştirilmesi işlemi sırasında 
RVARYPW kullanılması gereklidir. Sistem bu işlem sırasında operatöre SWITCH işleminin 


onaylanması için parola sorar. 


STATUS — RACF'in durumunu değiştirme talebi geldiğinde — RACF'i devre dışı bırakmak 


gibi, bu talebin yerine getirilmesini onaylamak için parola sorulur. 
RVARY komutu aşağıdaki işlemlerde kullanılır: 


& RACF fonksiyonlarını durdurmak ya da tekrar aktif etmek için. 
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& Asıl RACF datasetinin bozulması durumunda, asıl RACF datasetinden yedek RACF 
datasetine SWITCH işlemi yaparken. 


& Asıl ya da yedek RACF dataset'lerini durdurmak ya da tekrar aktif etmek için. 


# RACF devre dışındayken class tanıtıcı tablosunda tanımlanmış class'ların ait 


olduğu her hangi kaynaklar için korumayı kaldırırken. 
& Sysplex ortamda RACF kullanıma alındığında işletim yöntemini seçmek için. 
RACF DATASET'LERİNİN SWITCH EDİLMESİ 


RACF dataset'lerinden hangisinin asıl hangisinin yedek olduğunu görmek için RVARY 


LIST komutu kullanılır. Komutun örnek çıktısı aşağıda gösterilmiştir: 


ICH150131I RACF DATABASE STATUS: 
ACTIVE USE NUM VOLUME DATASET 


YES PRIM 1 SEs3c1 SYSI.RACF 
YES BACK 1 SESs3c1 SYSI.RACFSEC 
ICH150201I RVARY COMMAND HAS FINISHED PROCESSİNG. 


kkk 


RVARYPW operandı ile SETROPTS komutunu kullanmak yukarıda açıklanan RVARY 


komutunu başarıyla yerine getirmek için gerekli parolaları belirlemek içindir. 


RACF, veritabanlarını SWITCH (yer değiştirmek) için ayrı, RACF'in STATUS 
(durumunu)unu değiştirmek için ayrı parola kullanılmasına izin verir. Aşağıdaki örnek 
switch parolası için KONAK'ın, RACF STATUS'ü için MEDYEN parolasının nasıl 


girileceğini göstermektedir: 


SETROPTS RVARYPW(SWITCH(KONAK) STATUS(MEDYEN)) 


RACF'in ilk kuruluşunda, switch parolasının ve status parolasının her ikisi de YES olarak 


belirlenmiştir. 
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Önemli: Komutun öneminden dolayı RVARY parolasının kesinlikle değiştirilmesini 
öneriyoruz. Aksi takdirde RACF yayınlarını herkes okuyacağı için parolanın kurulumla 
geldiği gibi değiştirilmeden bırakılması durumunda parolayı herkes bilecektir, bu da 
kuruluşun güvenliğini olumsuz etkileyecek ya da kötü niyetli kişilerin RACF'i etkisiz hale 


getirmesine neden olacaktır. 
2.54 JES2 RACF Desteğini Aktif Etmek 


SETROPTS komutunun JES parametresi pek çok alt komutlara sahiptir. RACF'in JES'i 


nasıl desteklediğiyle ilgili birbirinden farklı seçenekler vardır. 
SETROPTS JES(BATCHALLRACF) RACF Seçeneği 


Yetkisiz kullanıcıların batch job çalıştırılmalarını önlemek için, bütün job'lara RACF kimliği 


verilmesi gerekir. Bu kuralı geçerli kılmak için, aşağıdaki komut kullanılır: 
SETROPTS JES(BATCHALLRACF) 


BATCHALLRACF kullanıldığında, herhangi bir batch job'ın JCL'inde JOB tanımlama 
adımında USER parametresinde RACF'e tanımlı bir kullanıcı belirtilmezse bu job 
çalışamaz. Aşağıdaki örnekte USER-OPERATOR, RACF'e tanımlı bir kullanıcıdır. 


USER-OPERATOR NAME-OPERATOR OWNER-SYSI CREATED-91.336 
DEFAULT-GROUP-SYSI PASSDATE-92.182 PASS-INTERVAL-N/A PHRASEDATE-N/A 
ATTRIBUTES-SPECIAL OPERATIONS 


REVOKE DATE—NONE RESUME DATEZNONE 


LAST-ACCESS-14.161/08:00:00 


CLASS AUTHORIZATIONS—NONE 
NO-INSTALLATION-DATA 


NO-MODEL-—NAME 


LOGON ALLOWED (DAYS) (TIME) 


Örnek: 
//GUNYEDKI JOB, (VBT) , KAYHAN, MSGCLASS-X,NOTIFY-&SYSUID, USER-OPERATOR, 
//  REGTON-OM, PASSWORD-Oper 928 


NOBATCHALLRACF kullanılırsa JOB tanımlama adımında USER parametresinin 


kodlanmasına gerek olmadan job'ların çalışmasına izin verilmiş olunur. 
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Execution Batch Monitor Desteği (XBM) (Sadece JES2 de) 


Execution batch monitor (XBM) işleri normal batch joblar gibi çalışırlar. Tüm XBM 


job'larının RACF kimliğine sahip olması için şu komut girilir: 


SETROPTS JES(XBMALLRACF) 


Bu operandın etkisiyle herhangi bir XBM job'ının job statement'ında RACF'e tanımlı bir 
kullanıcı ID ya da parola belirtilmemişse bu job çalışmaz. Fakat XBMALLRACF yerine 
NOXBMALLRACF öperandı kullanılırsa, o zaman RACF kullanıcı ID'sine gerek 
duyulmadan XBM job'ları çalışır. XBM Execution batch monitoring özelliği bir kullanıcıya 
JCL i en düşük bilgiyle veri işlemesine izin verdirir. Kullanıcı sadece geçerli bir JOB 
statement ile giriş verisine ihtiyaç duyar. Bu özellik: 


& Derleme ve hata ayıklama derleyicileri 
# Dosya- gerektiren programlar 


& Donanım ya da yazılım sistem emülatörleri için kullanışlıdır. 
Varsayılan Ulusal Dili Belirlemek (LANGUAGE) 


SETROPTS komutunun LANGUAGE seçeneği ile sistemde kullanılmakta olan (örneğin 
Amerikan İngilizcesi ya da Japonca) ulusal dillerden sistem çaplı varsayılan dil belirtilebilir. 
Asıl dil, ikinci bir dil, ya da her ikisi de birden seçilebilir. Dilleri, sistemi kurarken hangi 
ürünlere göre belirlediyseniz, birincil ve ikincil dilleri de seçerken bunun sistem diline uygun 
olup olmadığını kontrol edin (bunu yapmak için RACROUTE REGUEST-EXTRACT 
komutunu kullanın) . 


Kuruluş sırasında varsayılan dilleri belirlemek için, aşağıdaki komutu girin: 


SETROPTS LANGUAGE/PRIMARY(language1) SECONDARY(language2)) 
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Dataset Modellemesini Kontrol Etmek (Model) 

SETROPTS komutunun MODEL operandı ADSP, PROTECT-YES, ya da ADDSD ile 
oluşturulacak yeni dataset profilleri için bir örnek türetmeye yardımcı olur. Modelleme tek 
kullanıcı ID ya da grup adı esas alınarak kullanıcı, grup ve GDG dataset'lerinde geçerli 
olabilir. Bu işlem SETROPTS komutunun MODEL(USER), MODEL(GROUP)ve 
MODEL(GDG) operandları ile kontrol edilir. 


Aşağıdaki örnek USER dataset'leri için bu seçeneğin nasıl kullanılacağını göstermektedir: 
SETROPTS MODEL(USER) 


Bu seçeneği SPECİAL niteliğine sahip kullanıcılar kullanabilir. 


Örnek: 

Aşağıdaki komutlar GRUP ile başlayan yeni profiller için GRUP1.SAMPMOD isimli profilin 
model olacağını göstermektedir. Modelin UACC si NONE dır ve modelde SERCAN, 
DERYA ve GRUPT' in READ erişim yetkisi (o vardır. GRUPT ile başlayan profiller 
oluşturulacağı zaman GRUP1.SAMPMOD profili model alındığı için bu modelin özellikleri 
otomatik olarak GRUP ile başlayan yeni profillere kopyalanacaktır. Böylece GRUP ile 
başlayan yeni bir profil tanımlanırken bu profilin özelliklerini tekrar tanımlamaya gerek 


kalmayacaktır. Modellemenin adımları şöyledir: 


(1) ALTGROUP GROUPI MODEL (SAMPMOD) komutu girilir. Bu komut otomatik 


profil modellemenin group1 ile başlayan yeni profiller için kullanılacağını belirtmektedir. 


(2) ADDSD 'GROUP1.SAMPMOD' MODEL UACC(NONE) o komutu girilir. Bu komut 
GROUP1.SAMPMOD isimli bir profil oluşturur. MODEL operandı kullanıldığı için 
GROUP1.SAMPMOD isimli gerçek bir datasetin olmasına ihtiyaç yoktur. Ancak 
GROUP1.SAMPMOD isimli bir dataset varsa, bu GROUP1.SAMPMOD isimli profil 
tarafından korunacaktır. 


(3) PERMIT 'GROUP1.SAMPMOD' ID(SERCAN DERYA GROUP1) ACCESS(READ) 
komutu girilir. GROUP1.SAMPMOD profili için erişim listesini oluşturur. 
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(4) SETROPTS MODEL(GROUP) komutu grup profillerinde MODEL operandını belirtmiş 
olan bütün gruplar için otomatik profil modellemeyi açar. 


Kullanıcı daha sonra aşağıdaki komutu girer. 


(5) ADDSD 'GROUPI.DATA' UACC (READ) komutu UACC (READ) olan 


GROUPI.DATA profili oluşturur. RACF, GROUPI.SAMPMOD (SERCAN, DERYA 


ve GROUPI READ erişimine sahiptir) dan erişim listesini kopyalar. 
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3.0 ACEE (Accessor Environment Element ) ve 
RACF nesneleri 


Erişim Denetimi Ortam Öğesi (ACEE), kullanıcının kimliğini temsil eden 27/OS kontrol 
bloğudur. Kullanıcı kimliğini ve kullanıcının kimlik bilgilerini belirlemede kullanılan diğer ilgili 
bilgileri içerir. 27/0S diğer işletim sistemleri gibi sistemin mevcut durumunu tanımlayan 
kontrol bloklarına dayanır. RACF mevcut kullanıcının yetkilerini ACEE kontrol bloğunda 


saklar 


ZJOS, bilgisayar sisteminin çalışmasını kontrol eden programlama instruction'larından 
(talimatlarından) oluşur. Bu talimatlar bilgisayar donanımının verimli bir şekilde 
kullanılmasını ve uygulama programlarının çalışmasına izin vermesini sağlar. z/OS, 
örneğin, işi kabul etme, işi izleyebilme, iş için kaynak tahsisi, işi yürütme, işi izleme ve 
çıktıyı işleyebileceği bir forma dönüştürme gibi bir dizi talimat içerir. İlgili talimatlar grubuna 
rutin veya modül denir. Belirli bir sistem işlevini mümkün kılan bir dizi ilgili modüle sistem 
bileşeni denir. Örneğin, z/0S'nin iş yükü yönetimi (WLM) bileşeni sistem kaynaklarını 


kontrol ederken, kurtarma sonlandırma yöneticisi (RTM) sistem kurtarmayı yönetir. 


Sık kullanılan sistem işlevlerini gerçekleştiren komut dizileri yürütülebilir makro komutları 
veya makrolarla çağrılabilir. z/OS makroları, veri dosyalarını açma ve kapatma, 
programları yükleme ve silme ve bilgisayar operatörüne mesaj gönderme gibi işlevler için 


kullanılır. 


Programlar bir z7/OS sisteminin çalışmasını yürüttükçe, bu işi kontrol bloğu olarak bilinen 
depolama alanlarında izlerler. Genel olarak, dört tür z / OS kontrol bloğu vardır: 

* Sistemleilgili kontrol blokları 

: Kaynaklailgili kontrol blokları 

:  İşleilgili kontrol blokları 


: Görevleilgili kontrol blokları 
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Sistemle ilgili her kontrol bloğu bir 7 OS sistemini temsil eder ve kaç işlemci kullanımda 
olduğu gibi sistem çapında bilgiler içerir. Her kaynakla ilgili kontrol bloğu, işlemci veya 
depolama cihazı gibi bir kaynağı temsil eder. Her işle ilgili kontrol bloğu, sistemde 
yürütülen bir işi temsil eder. Görevle ilgili her kontrol bloğu bir iş birimini temsil eder. 

Z/OS'de bir adres alanı başladığında, bir erişim ortamı öğesi (ACER) bu adres alanıyla 
ilişkilendirilir ve gelecekteki yetkilendirme denetimleri için kimlik bilgileri olarak işlev görür. 
İşletim sistemi söz konusu olduğunda adres alanının kimliği budur. Uygulama sunucusu 


adres alanı bu ACEE'yi alır ve kendi iç kimlik bilgileriyle eşler. 


—— 


c8 Fas 


vr | of the AUTH reguest caller 


im 
88 | ACEE3PTY. ACEE to be checked 


ME, 


Şekil - Kontrol bloğuna genel bakış: Bellekteki güvenliğin içeriği 


bu nedenle bu programlar iş veya kaynak birimi hakkında gerekli bilgileri bulabilir. Aynı 
tipteki birçok birimi temsil eden kontrol blokları kuyruklar üzerinde zincirlenebilir, her kontrol 
bloğu zincirde bir sonrakine işaret eder. İşletim sistemi, belirli bir iş veya kaynak birimi 


hakkında bilgi bulmak için kuyrukta arama yapabilir; aranan bilgiler: 


: Bir kontrol bloğunun adresi veya gerekli bir rutin 
* Değer, miktar, parametre veya ad gibi gerçek veriler 


* Durumflag'ları (genellikle her bitin belirli bir anlamı olan bir bayttaki tek bitler) 


z/ OS, birçoğu çok özel amaçlı olan çok çeşitli kontrol blokları kullanır. En sık kullanılan üç 
kontrol bloğu şunlardır: 


Bir iş veya görev birimini temsil eden görev kontrol bloğu (TCB) 
Sistem hizmeti isteğini temsil eden hizmet istek bloğu (SRB) 


Bir adres alanını temsil eden adres alanı kontrol bloğu (ASCB) 
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Virtual address space'in yerleşimi Virtual Address Space 
16 EB 
Private 
512T 
Shared Area 
2T 
Low User Private 
2G 
Extended Private 
- 
Extended Common 
N z - 16MB 
Private region N 
Common region 
24K 
User region System region 
8K 
PSA 


ACEE birçok işlevi yerine getirir ve çeşitli referansları tutar. Bir kullanıcı sisteme logon 
olduğunda o kullanıcıya bir ACEE referansı atanır, atanan bu ACEE referansı kullanıcı 
ID'yi kimliklendirmek için kullanılır. Logon işlemi sırasında, RACF her kullanıcıya bellekte 
bir ACEE (Accessor Control Environment Element) oluşturur. Bu ACEE daha sonraki 
erişim yetkisi kontrollarında kullanılacaktır. 


ACEE sadece RACF veri tabanından kullanıcının profilinin getirilmesiyle elde edilebilen 
kullanıcı bilgisini ihtiva eder. Bu bilginin içeriğinde kullanıcının ID'si, ismi, bağlı olduğu 
gruplar ve kullanıcının RACF özellikleri gibi bilgiler bulunur. 


Bir kullanıcı normal bir iş gününde pek çok kez sisteme logon olabilir. Bir TSO kullanıcısı 
gün boyunca sisteme çok sayıda toplu iş gönderebilir; bunların her biri RACF açısından 
ayrı bir logon olma işlemidir. Böyle değişik logon olmaların nitelikleri çoğunlukla aynıdır ve 
RACF bu ACEE'lerin her biri için her defasında aynı işlemleri yapar. ACERE'lerin bu 
mekanizmasını göz önünde tutarak her seferinde yeniden ACEE oluşturulmasını ve her 
logonda tekrar kullanılacak kullanıcı profilinin veri tabanından getirilmesini önlemek için 
ACEE'ler VLF'de önbelleğe alınır. ACEE'lerin VLF'de ön belleğe alınması RACF 


performansının artırılmasına katkı sağlar. 
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4.0 Çok Katlı Güvenlik (Multi Level Security) 


Kaynaklara farklı seviyelerde güvenlikle erişilmesi fikri savunma topluluğunun güvenliği 


sınıflandırırken kullandığı terimlerden ortaya çıkmıştır: 


Çok gizli, 
Gizli, 
Kritik ve 


Gizli olmayan 


| si 


MLS hem hiyerarşik güvenlik seviyelerine hem de hiyerarşik olmayan güvenlik 
kategorilerine dayanan veriyi sınıflandırmak için bir mekanizma sunar. Özellikle çok katlı 
sistem mimarilerinde çok katlı güvenlik uygulanmalıdır. Bir sistemde herhangi bir güvenli 
olmayan bileşen bulunursa, bu bileşen veri sızmasına ya da güvenlik politikasının ihlal 
edilmesine öncülük eder. Aşağıdaki şekil çok katlı güvenlik sisteminin bileşenlerini 


göstermektedir. 


Storage PSD Input Grafik Onaylama 


İN ! 
Network | İİİ, 
| - ui > ü 
Va EE > < ' A : : 
Hardware —. 


Şekil — Örnek bir Çok katlı Güvenlik Sistemi (MLS) 
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Bir mimarinin güvenli olması için, güvenlik mekanizmasını hizmet dışı bırakacak ya da onu 
atlatacak hiçbir yolun olmaması gerekir. Bu hedefe ancak sistemin her bileşeni güvenli 
olduğu zaman ya da güvenli bir bileşen tarafından tetkik edildiği zaman ulaşılır. Sonuç 
olarak, kabul edilebilir, doğru birçok katlı güvenlik, güvenli bir belleği olup güvensiz bir 1/O 
alt sistemi olan ya da güvenli uç cihazları olup savunmasız bir network mimarisi olan 
sistemlerde kurulamaz. Unutulmamalıdır ki bir sistemin güvenliği onun en zayıf bileşeninin 


güvenliği kadardır. 


Çok katlı güvenlik hiyerarşik olmayan güvenlik kategorisi ile hiyerarşik olan güvenlik 
kategorilerinin birlikte bulunduğu bir sistemde kullanıcılara ve verilere gizlilik dereceleri 
atamayı sağlayan bir güvenlik politikasıdır. Kritik ya da gizli bilginin korunması pek çok 
kurum için olağan üstü öneme sahiptir. Bu tür bilgilerin ifşa edilmesi en azından bazı 
kurumlar için müşteri güveninin sarsılmasına neden olur. Finans kurumları için bu durum 


maddi olarak telafi edilebilir, fakat savunma ve askeri kurumlar için aynı şey söylenemez. 


Aynı bilgi sistemlerinde farklı güvenlik seviyelerine sahip bilginin bulunması gerçek bir 
tehdit unsurudur. Farklı kullanıcı hesaplarının, farklı yetkilerin, farklı erişim kontrollerinin 
kullanıldığı bir ortamda kullanıcıların farklı kayıt günceleri olsa bile bilgi güvenliği 
seviyelerini ayrıştırmak kolay bir iş değildir. . Kullanıcıları, sistemlere farklı güvenlik 
seviyelerinde bilgi kirliliği korkusu yaşatmadan aynı anda eriştirecek bir mekanizma 


gereklidir. 


Çok katlı güvenliğin güvenlik politikası iki temel hedef içerir. İlki, yetkisiz bireylerin 
yetkilerinden yüksek olan bilgilere erişmelerini önlemek. İkincisi, bireylerin bilginin gizliliğini 


açığa çıkarmalarını önlemektir. 


RACF'te kullanıcılara ve kritik kaynaklara güvenlik seviyesi ve güvenlik kategorisi 
atanabilir. Ayrıca kritik kaynakları ve kullanıcıları daha kolay yönetebilmek için güvenlik 
seviyeleri ile güvenlik kategorilerinin bileşiminden oluşan güvenlik etiketleri de atanabilir. 
Kullanıcı profilleri ve kaynak profilleri güvenlik etiketi tanımı değiştirilirse, etiketin 
değiştirilmesi gerekmeyecek bir güvenlik etiketine tahsis 


edilmiştir. 
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Örneğin, BORDRO ve personel güvenlik kategorilerinin her ikisi de PPSECR güvenlik 
etiketinde SECRET güvenlik seviyesiyle birleştirilebilir. Yani, BORDRO ve personel 
kategorilerindeki PPSECR etiketine sahip kullanıcılar SECRET seviyesindedir. 


Bir güvenlik kategorisi güvenlik ihtiyaçları benzer olan bir organizasyon içindeki bölge ya 


da bölüme uygun olan ve güvenlik sisteminin kuruluşu sırasında tanımlanan bir isimdir. 
Örneğin bordro bölümünde çalışan bir görevlinin güvenlik kategorisi PAYROLL olabilir. 


Güvenlik seviyesi ise bir kaynağın kritikliğini göstermek için kullanılan hiyerarşik seviyeler 
setidir. Genellikle 1 (en düşük) — 254 (en yüksek) arasındaki bir sayıyla ilişkilendirilmiş ve 
güvenlik sisteminin kuruluşu sırasında verilmiş bir isimdir. Bir kullanıcı, eğer kullanıcının 
güvenlik seviyesi kaynağın güvenlik seviyesine eşit ya da kaynağın güvenlik seviyesinden 


büyükse kaynağa erişebilir. 


Bir kullanıcı güvenlik etiketine sahip olmasa da veriye erişebilir. Kuruluşlar, isimler 
belirleyerek, bu isimleri sayısal güvenlik seviyeleriyle ilişkilendirmeyi arzu ederler. Güvenlik 
seviyelerinin sayısal değerlerinin anlamlı olması gerekmez. Önemli olan seviyenin daha 
yüksek veya daha düşük olup olmadığıdır. Örneğin, bir güvenlik seviyesi SECRET olarak 


verilebilir. 


Eğer güvenlik seviyeleri ve kategorileri kullanılıyorsa (SECDATA sınıfı aktiftir), eğer 
güvenlik etiketi kullanılmıyorsa (SECLABEL sınıfı aktif değildir), Bir güvenlik kategorisi ya 
da güvenlik etiketiyle ilişkilendirilmiş bir kaynağa bir kullanıcı erişim talebinde bulunduğu 


zaman RACF aşağıdaki adımları uygular: 


1. Eğer kaynak SECLEVEL'a sahipse, RACF kullanıcının güvenlik seviyesini kaynağın 
güvenlik seviyesiyle karşılaştırır. Eğer kaynağın güvenlik seviyesi kullanıcının güvenlik 
seviyesinden yüksekse, RACF erişim isteğini ret eder. Eğer kaynak bir SECLEVEL'a sahip 
değilse, RACF kategori kontrolü yapmak için adım 2'yi işleme sokar. 
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2. RACF kullanıcının profilindeki güvenlik kategorileri listesi ile kaynak profilindeki güvenlik 
kategorilerini karşılaştırır. Eğer kullanıcının güvenlik seviyesi kaynağa erişmeye yetecek 

kadar yüksekse, RACF kullanıcının profilindeki güvenlik kategorilerini kaynağın profilindeki 
güvenlik kategorileri listesiyle karşılaştırır. Eğer RACF kullanıcının profilinde değil de, 


kaynağın profilinde her hangi bir güvenlik kategorisi bulursa, erişim talebini ret eder. 


Eğer RACF erişim talebini ret etmezse, yetkilendirmeyle devam eder. Eğer kaynak 
profilinde hiç bir kategori yoksa, RACF yetkilendirmeyle devam eder. Eğer kurulumda 
SECLABEL aktif edilmişse ve bir kullanıcı bir güvenlik etiketine sahip bir kaynağa erişme 
isteğinde bulunursa, RACF kaynak profilinde belirtilmiş güvenlik kategorilerini ya da her 


hangi bir güvenlik seviyesini dikkate almaz. 


NO 


Si # 5 
ie YES 


Yukarıdaki örnekte, kuruluş güvenlik etiketlerini SECRET ve CONFIDENTIAL olarak 
seçmiştir. Kullanıcının güvenlik seviyesi CONFIDENTIAL dır. Bu nedenle kullanıcı 
kendisinden daha yüksek erişim seviyesi olan SECRET kaynaklara erişemez. Ancak, 
CONFIDENTIAL ve NOT CLASSIFIED kaynaklara erişebilir. 
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4.01 Güvenlik etiketleri tanımlama 


Bir güvenlik etiketi RACF güvenlik seviyesi ile sıfır ve sıfırdan büyük rakamlarla sembolize 


edilen RACF güvenlik kategorileri arasında ilişki kurar. 


“WAS “RU K“Ipecd 


CatA CatB Catc CatD CatN 


Hiyerarşik Olmayan 


KULLANICI 


———> CatC 


mma 4 © 


Yukarıdaki şekilde kullanıcının güvenlik etiketi L3CD dir. Bu güvenlik etiketi hem C 
kategorisini hem de D kategorisini kapsamaktadır. Bu kullanıcının güvenlik seviyesi L3 tür. 


Örneğin, bir sistem üç güvenlik seviyesine: gizli olmayan, kritik ve gizli ve üç güvenlik 
kategorisine Proje A, Proje B ve Proje C sahip olsun. Proje A, Proje B ve Proje C için 
Güvenlik etiket ismi olarak MENEKŞE verilsin. 


Proje A ve Proje B için Kritikliği göstermek için SOMON güvenlik etiket ismi, gizli olmayan 


Proje C için de etiket ismi olarak SİYAN verilsin. 
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Güvenlik seviyesi: Gizli Değil, Kritik, Gizli 

Kategoriler : Proje A, Proje B, Proje C 

Etiket adı : MENEKŞE Kategori : Proje A, Proje B, Proje C N> 
Etiket adı : SOMON Kategori : Proje A, Proje B > 


Etiket adı : SİYAN Kategori : Proje C 


> 


Güvenlik sorumlusu sistemin güvenlik kategorileri ile güvenlik seviyelerinin tanımlandığı 
RACF SECDATA resource class'ında iki profil tanımlar: 


&i SECLEVEL profili sistemdeki her bir hiyerarşik güvenlik seviyesindeki memberı 
kapsar. 
# CATEGORY profili sistemdeki her bir hiyerarşik olmayan memberı kapsar . 


SECLEVEL: Hiyerarşik güvenlik seviyesi verinin kritiklik derecesini belirler. “GİZLİ - 
SECRET” “ KRİTİK - SENSITIVE” ve “GİZLİ DEĞİL - UNCLASSIFIED” . 


"GİZLİ - SECRET” 'a güvenlik seviyesi 30 , "KRİTİK — SENSITIVE”e 20 seviyesi ve " 
GİZLİ DEĞİL — UNCLASSIFIED”"'a 10 seviyesi verilebilir. Güvenlik sorumlusu böyle 254'e 


kadar güvenlik seviyesi tanımlayabilir. 


CATEGORY: "PROJEA", "PROJEB"ve "PROJEC”" kategorileri bu profile tanımlanır. 


SECLABEL - MENEKŞE 

SECLEVEL - GİZLİ 

CATEGORY - PROJEA, PROJEB, PROJEC 
SECLABEL - SOMON 

SECLEVEL > KRİTİK 

CATEGORY - PROJEA, PROJEB 
SECLABEL > SİYAN 

SECLEVEL > GİZLİ DEĞİL 

CATEGORY - PROJEC 
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Güvenlik etiket tablosu aşağıdaki gibi oluşmuş olur. 


Güvenlik Etiketi Güvenlik Seviyesi Kategorisi 
MENEKŞE GİZLİ Proje A,B,C 
SOMON KRİTİK Proje A, B 
SİYAN GİZLİ DEĞİL Proje C 


A, B ve C Projesindeki SECLABEL'ı MENEKŞE olan member'lar GİZLİ - SECRET güvenlik 
seviyesine, A ve B Projelerindeki SECLABEL'ı SOMON olan member'lar KRİTİK - 
SENSITIVE güvenlik seviyesine, C projesindeki SECLABEL'ı SİYAN olan member'lar 
GİZLİ DEĞİL - UNCLASSIFIED güvenlik seviyesine sahip olmuş olurlar. 


PROJEA PROJEB PROJE C 


Sistemin oluşturduğu güvenlik etiketleri 


SYSHIGH: Bu etiket güvenlik sorumlusunun tanımladığı en yüksek güvenlik seviyesine 
eşittir. 

SYSLOW: Bu etiket güvenlik sorumlusunun tanımladığı en düşük güvenlik seviyesine 
eşittir ve hiç bir kategori içermez. 

SYSNONE: SYSLOW'a benzer farkı tüm kullanıcılar bu kaynakları güncelleyebilir. 
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4.02 Güvenlik etiketiyle ilgili seçenekler 


Güvenlik Etiketleri için COMPATMODE'u Aktif Etmek (COMPATMODE) 
Çok Katlı Güvenliği Zorunlu Kılmak (MLACTIVE) 


z/OS UNIX Dosya ve Dizinlerine Erişimi Kontrol Etmek (MLFSOBJ) 


Süreçler arası İletişim Nesnelerine Erişimi Kontrol Etmek (MLIPCOBJ) 
Ad-Gizlemeyi Kullanmak (MLNAMES) 
RACF'i Pasif Yapmak (MLOUIET) 
Güvenlik Etiketlerinin Değiştirilmesini Önlemek (MLSTABLE) 
Güvenlik Etiketlerinin Değiştirilmesini Kontrol Etmek (SECLABELCONTROL) 
Sistem Görüntüsü ile Güvenlik Etiketlerini Aktif Etmek (SECLBYSYSTEM) 


Güvenlik Seviyelerini ve Kategorileri Tanımlamak 


Güvenlik seviyesini tanımlamak için aşağıdaki komut kullanılır: 


DEFINE SECURITY LEVELS 


Tanımlı olan güvenlik seviyesine güvenlik memberları atamak için kullanılan bir komut 


örneği aşağıda verilmiştir: 


RDEFINE SECDATA SECLEVEL UACC(NONE) ADDMEM(SECRET/200 CONF/100) 


Güvenlik kategorisi tanımlamak için kullanılan komut ise: 


DEFINE SECURİTY CATEGORIES 


Tanımlı olan güvenlik kategorisine member atamak için kullanılan bir komut örneği aşağıda 


verilmiştir: 


RDE 


NE 


m 


ECDATA CATI 


EGORY UACC (NON! 


a 
F 
E) 


ADDMI 


EM (PROJA PROJİ 


B 


P 


ERS) 


RACF SECDATA genel kaynak class'ını güvenliği sınıflandırmak için kullanır. ADDMEM 
parametresi SECLEVEL'ı sayısal değerler 1 — 254 ile birleştirmek için kullanılmaktadır. 


ADDMEM ayrıca CATEGORY isimlerini tanımlamak için de kullanılır. Kullanıcının güvenlik 


seviyesi kullanıcı profilinde tutulur. Dataset'lerin güvenlik 
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seviyeleri ise dataset profilinde,genel kaynağın güvenlik seviyesi ise genel kaynak 


profilinde tutulur. 


Güvenlik Etiketleri Tanımlamak 


Güvenlik etiketi tanımlamak için kullanılan komut: 


SETROPTS CLASSACT(SECLABEL) RACLIST(SECLABEL) 

Birkaç seviye ve kategoriler tanımlanır ve sonra kullanıcılara etiketler atanır. 
Örnek: 

RDEFINE SECLABEL labelname SECLEVEL (levelname) ADDCATEGORY(cat1,cat2,....) 


ADDUSER 


user SECLABEL (labelname) TSO(SECLABEL(labelname)) 


ALTUSER 


PERMİIT labelname CLASS(SECLABEL) ACCESS(READ) ID(userid) 


SETROPTS komutu kullanılarak SECLABEL class'ı aktif aktif edilir. 


Güvenlik Etiketleri için COMPATMODE'u Aktif Etmek 


COMPATMODE seçeneği güvenlik etiketlerinin kullanılmasının zorunlu olduğu bir 
sistemde kullanıcıların ve job'ların güvenlik etiketleri kullanma zorunluluğunu ortadan 
kaldırır. Kullanıcı ID'lerinin ya da job'ların ACEE'lerinin RACROUTE REGUEST-VERİFY 
komutuyla oluşturulmuş olması gerekmektedir (ACEE Access Control Environment 


Element kelimelerinin kısaltmasıdır). 


COMPATMODE'u yürürlüğe koymak için aşağıdaki komut girilir: 
SETROPTS COMPATMODE 


NOCOMPATMODE'da ise kullanıcılar ve job'lar veriye erişmek için uygun güvenlik 
etiketleri kullanmak zorundadırlar. RACF veri tabanı ilk başlatıldığında NOCOMPATMODE 
dadır. 
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Çok Katlı Güvenliği Zorunlu Kılmak (MLACTIVE) 


SETROPTS komutunun MLACTIVE ve MLS seçenekleri kullanılarak sistemin güvenliği 
çok sıkı bir hale getirilebilir. SPECIAL niteliğine sahip bir kullanıcı, SECLABEL class'ı 
aktifse, sistemi bütünüyle çok katlı güvenliğe zorlayabilir. Çok katlı güvenliğe geçmek için 
gerekli şartlar : 


# Sisteme girilen tüm işler RACF'e tanımlı bir kullanıcı tarafından çalıştırılmalıdır 

& TSO ve MVS konsollarına logon olan TSO kullanıcılarına ve çalıştırılan toplu işlere 
ve güvenlik etiketlerini destekleyen herhangi bir uygulamaya yani sisteme girilen 
tüm işlere bir güvenlik etiketi atanmalıdır. 

# Bir güvenlik etiketi aşağıdaki class'lardaki bütün profillere atanmalıdır: 

— APPCPORT 

— APPCSERV 

— APPCTP 

— DEVICES 

— DATASET 

— USER 

— TAPEVOL 

— TERMINAL 

& — WRİTER 


Bunu yapmak için de şu komut kullanılır: 


SETROPTS MLACTIVE 
SETROPTS komutunun MLACTİVE operandının formatı ise şöyledir: 


| MLACTIVE (( FAILURES | WARNING )J | NOMLACTIVE | 


MLACTIVE(WARNING) operandı, kullanıcı 
& Sisteme güvenlik etiketi olmadan giriş yaptığında 
#i yukarıda bahsedilen class'lardan bir tanesinin kaynağına erişmeye kalkarsa fakat 
kaynak bir güvenlik etiketine sahip değilse 
& kullanıcıya ve güvenlik yöneticisine bir uyarı mesajı gönderir fakat işleme devam 


eder. 
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z/OS UNIX Dosya ve Dizinlerine Erişimi Kontrol Etmek (MLFSOBJ) 


MLFSOBJ seçeneği z/0S UNIX dosyaları ve dizinleri için güvenlik etiketlerinin kullanılıp 
kullanılmayacağını kontrol etmek için kullanılır. MLFSOBJ seçeneğinin iki alt seçeneği 
vardır, ACTIVE ve INACTIVE: 

» MLFSOBJ(ACTIVE) SECLABEL class'ın aktif olduğunu belirtir, sadece güvenlik 
etiketi olmayan güvenilir ya da hak sahibi olan started tasklar dosyalara ve 
dizinlere erişebilirler. 

» MLFSOBJ(INACTIVE) dosyalara ve dizinlere erişmek için güvenlik etiketinin 


gerekli olmadığını belirtir. 


Eğer SETROPTS MLFSOBJ komutu ACTIVE ya da INACTIVE kullanılmadan verilirse, 
ACTIVE varsayılandır. 


MLFSOBJ(ACTIVE), komutunu vermeden önce aşağıdaki işlerin yapılması gerekmektedir: 
1. RACF SECLABEL class'ında tanımlanmış olan profiller için güvenlik etiketlerine sahip 
olunmalıdır. 

2. Güvenlik etiketlerini kullanacak olan tüm kullanıcılara yetki verilmelidir. 

3. Bütün //OS UNIX dosyalarına ve dizinlerine güvenlik etiketleri atanmalıdır. 

4. SECLABEL class aktif ve RACLIST edilmelidir. 


5. Bütün dosya sistemlerinin güvenlik etiketlerine sahip olduğundan emin olmak için, tüm 
kullanıcılara güvenlik etiketi atandıktan ve SECLABEL class aktif edildikten sonra sistemi 


IPL etmek iyi olur. 


Yapılması gerekli işlem: MLFSOBF seçeneği aktif edilmeden önce SECLABEL class 


mutlaka aktif edilmelidir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 229/525 


Süreçler arası İletişim Nesnelerine Erişimi Kontrol Etmek (MLIPCOBJ) 


MLIPCOBJ seçeneği süreçler arası iletişimde güvenlik etiketlerinin gerekli olup olmadığını 
kontrol etmek için kullanılır. MLIPCOBJ seçeneğinin iki alt seçeneği vardır, ACTIVE ve 
INACTİVE: 


& MLIPCOBJ(ACTIVE) SECLABEL aktif olduğunda, bütün IPC nesnelerinin bir 


güvenlik etiketine sahip olmak zorunda olduğunu belirtir. 


& MLIPCOBJ(INACTIVE) IPC nesnelerinin bir güvenlik etiketine sahip olmasının 
gerekmediğini belirtir. Eğer bir SECLABEL class aktifse, nesne oluşturulması 


sırasında IPC nesnelerine güvenlik etiketleri atanır. 
IPC (Inter Process Communication) : Süreç Arası İletişim 
Ad — Gizlemeyi Kullanmak (MLNAMES) 


SPECİAL niteliğine sahip bir kullanıcı eğer SECLABEL özelliği aktifse, kullanıcıların, 
dataset isimlerini, dosyaları ve dizinleri görmesine engel olabilir. Bu seçenek adı — gizleme 


(name-hiding) olarak bilinir. Bunu yapmak için, aşağıdaki komut girilir: 
SETROPTS MLNAMES 


MLNAMES seçeneğini kaldırmak için, SETROPTS komutunun NOMLNAMES operandı 
kullanılır. MLNAMES aktif olduğunda, katalogları ve dizinleri listeleyebilen kullanıcılar 
dataset'lerin ve dosyaların isimlerini göremezler. Eğer MLNAMES aktifken SECLABEL 
class aktif değilse, dataset isimleri dataset'lere en azından READ erişimi olmayan 
kullanıcılardan gizlenmeye halen devam ederler. MLS seçeneğinin iki alt seçeneği vardır: 
FAILURES ve WARNING: 


& MLS(FAILURES) kullanıcı yazma modunu aktif etmedikçe RACF'in herhangi bir 


yazma isteğini geri çevireceğini belirtir. 


& MLS(WARNING) RACF'in herhangi bir yazma isteği aldığında bir uyarı mesajı 
vereceğini ve isteği kabul edeceğini belirtir 
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İstisna durumu: /OS UNIX dosyaları ve dizinleri WARNING modu desteklemez. 2/OS 
UNIX dosyaları ve dizinleri için MLS(WARNING), MLS(FAILURES) gibi aynı etkiye sahiptir. 


& NOMLS yazma isteklerine izin verileceğini belirtir ve kullanıcılar veriyi daha düşük 


güvenlik etiketine kopyalayabilirler. 
RACF'i Pasif Yapmak (MLGUIET Seçeneği) 


SPECİAL niteliğine sahip bir kullanıcı, SPECİAL niteliğine sahip kullanıcıların, konsol 
operatörlerinin ve started prosedürler dışındaki kullanıcıların logon olma, yeni işleri 
çalıştırma ya da kaynaklara erişmelerini önleyebilir. Bu RACROUTE AUTH, DEFİNE ve 


VERİFY isteklerinin kullanılmasını da önler. Bunu yapmak için, aşağıdaki komut girilir: 
SETROPTS MLGULIET 


Bu komutu yürürlükten kaldırmak için de SETROPTS komutunun NOMLOUIET operandı 


kullanılır. 


SETROPTS MLGUIET komutu o anda açılan datasetin güvenlik etiketinin 
değiştirilememesini sağlar. SETROPTS MLGUIET komutu girildiğinde sistemin boşa 


alındığından emin olunması güvenlik yöneticisi ve konsol operatörünün sorumluluğundadır. 
Güvenlik Etiketlerinin Değiştirilmesini Önlemek (MLSTABLE) 


SPECİAL niteliği olan bir kullanıcı, SECLABEL class aktifse, veri kullanımdayken bir 
kullanıcının veri güvenlik derecesini değiştirmesine engel olabilir. MLSTABLE kullanılarak 


özellikle aşağıdakileri yapmak mümkündür: 


& Herhangi bir kullanıcının bir RACF profilinin güvenlik etiketini değiştirmesini 


önlemek. 


#i Herhangi bir kullanıcının SETROPTS MLGUJET etkili olmadığı durumlarda RALTER 
komutunu kullanarak bir SECLABEL profilini değiştirmesini önlemek. 
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& Bunu yapmak için, şu komut girilir: 


SETROPTS MLSTABLE 


Kısıtlama: Bu seçenek SECLABEL aktif olmadığı zaman aktif edilemez. 


Güvenlik Etiketlerinin Değiştirilmesini Kontrol Etmek (SECLABELCONTROL) 


SPECİAL niteliğine sahip bir kullanıcı, SPECİAL niteliğine sahip olmayan kullanıcıların 


aşağıdakilerden her hangi birini yapmalarını engelleyebilir: 


# Bir kaynak profildeki güvenlik etiketini değiştirmesini ya da güvenlik etiketi 
oluşturmasını 
& RALTER komutunu kullanarak SECLABEL profilini değiştirmesini 


Bunu yapmak için aşağıdaki komut kullanılır: 


SETROPTS SECLABELCONTROL 


SECLABELCONTROL seçeneği aktif olduğu zaman, sadece belirli kullanıcılar RACF 
komutunda SECLABEL operandını kullanabilirler: 

İli SPECİAL niteliğine sahip kullanıcılar, her hangi bir RACF komutunda SECLABEL 
operandını kullanabilirler. 

ii Grup-SPECİAL niteliğine sahip kullanıcılar, sadece ADDUSER ve ALTUSER 
komutlarında SECLABEL operandını kullanabilirler. Bunun yanında, grup — SPECİAL 
niteliğine sahip kullanıcılar en az READ erişim yetkisiyle SECLABEL profillerine izin 
verebilirler. SECLABELCONTROL'u etkisiz kılmak için SETROPTS komutunda 

ii NOSECLABELCONTROL seçeneği kullanılır. 


Sistem Spesifik Güvenlik Etiketlerini Aktif Etmek (SECLBYSYSTEM) 
Bu özellik sysplex sistemlerde sistem imajlarının güvenlik etiketlerini aktif etmeyi kontrol 


etmek için kullanılır. 


SECLBYSYSTEM seçeneği sysplex sistemlerde güvenlik etiketinin hangi sisteme göre 
esas alınacağını belirler. SECLBSYSTEM aktif olduğunda, güvenlik etiketinin hangi sistem 
için geçerli olduğunu belirten SECLABEL sınıfındaki profillerin member listesinde belirtilen 
SMF ID değerleri yürürlüğe girer. NOSECLBYSYSTEM seçeneği 
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ise sysplex sistemlerde güvenlik etiketlerinin sistemlere göre belirtilmeyeceğini gösterir. 
NOSECLBYSYSTEM de bütün güvenlik etiketleri RACF veri tabanını paylaşan bütün 


sistemlerde geçerlidir. 


SECLBYSYSTEM seçeneği özellikle sysplex sistemlerde ve daha çok paylaşılan dosya 
sistemlerini kullanan HFS ve zFS i içeren 7/OS UNIX için önemlidir. 
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5.0 SETROPTS LIST — Seçenekleri gösterme 
SETROPTS LIST komutu 


Bu komut yürürlükte olan RACF seçeneklerinin listelenmesini sağlar. LIST operandını 
ancak RACF SPECİAL, AUDITOR, group-SPECİAL, ya da group-AUDITOR niteliğine 
sahip kullanıcılar kullanabilir. Bu komutla RACF'te hangi seçeneklerin set edildiği 


görülebilir. Komut: 


SETROPTS LIST ya da SETR LIST olarak TSO ISPF Primary Option panelinden 6 


numaralı seçenekle girilen, ISPF Command Shell ekranından verilir. 


Menu List Mode Functions Utilities Help 


SSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSSS 
ISPF Command Shell 
Enter TSO or Workstation commands below: 


---> setropts list 


Eğer bu komutu veren kişi AUDITOR niteliğine sahip değilse bazı seçenekleri 


göremeyebilir. Listelemeyi beş bölüm halinde açıklamayı uygun gördük. 
Birinci bölüm, ilk satır 


& ATTRIBUTES - INITSTATS 

& WHEN(PROGRAM — BASIC) (PROGRAM kaynak class'ındaki aktiviteleri kontrol 
etmek; BASIC vs. ENHANCED ) 

& SAUDIT ( SPECİAL veya group-SPECİAL özniteliğine sahip kullanıcılar tarafından 
verilen komutları loga ( günlüğe) kaydetmek için kullanılır.) 

& CMDVIOL (log komut ihlalleri loga yazılır) 

# OPERAUDIT (OPERATMONS veya group-OPERATIONS  özniteliğine sahip 


kullanıcılar tarafından verilen komutları loga (günlüğe) kayıt etmek için kullanılır) 
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İkinci bölüm, Kaynak Class'ları maddesi 
STATISTICS — ile başlar; 

ve LOGOPTIONS “DEFAULT” ile biter. 

Bu bölümde yer alan konular: 


STATISTICS —- 

AUDIT CLASSES- 

ACTIVE CLASSES - 

GENERİC PROFILE 

GENERİC COMMAND CLASSES 
GENLIST CLASSES - 

GLOBAL CHECKİING CLASSES - 
SETR RACLIST CLASSES - 
GLOBAL-YES RACLIST ONLY — 


mec © © ©0000 C0 00 


LOGOPTIONS : 


ii LOGOPTIONS "ALWAYS" CLASSES — 
LOGOPTIONS "NEVER" CLASSES - 
LOGOPTIONS "SUCCESSES" CLASSES - 
LOGOPTIONS "FAILURES" CLASSES - 


ge cec 


LOGOPTIONS "DEFAULT" CLASSES - 


Bu bölümde dikkate alınması gereken bazı class'lar şunlardır: 


isi DASDVOL, DIGTCERT, DSNR, FACILITY (no backstop), GLOBAL, JESSPOOL, 
MOADMIN  (ssid.RESLEVEL), NODES, OPERCMDS, PROGRAM, PROPCNTL, 
RACFVARS, SDSF, SERVAUTH, STARTED, SURROGAT, TAPEVOL, TEMPDSN, 
TSOAUTH, UNIXPRIV, VTAMAPPL, WRITER 


Üçüncü bölüm, Kullanıcı ID ve Dataset maddesi 


AUTOMATIC DATASET PROTECTION - ile başlar, 
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ve GROUP DATASET MODELLING ile biter. 


Bu bölümde yer alan konular: 


AUTOMATIC DATASET PROTECTLON IS NOTIN EFFECT* 
ENHANCED GENERİC NAMING IS IN EFFECT 
REAL DATASET NAMES OPTION IS ACTIVE 


JES-BATCHALLRACF OPTION IS ACTIVE 


JES-EARLYVERİFY OPTION IS NOT ACTIVE* 
PROTECT-ALL OPTİON IS IN EFFECT 


ii 
ie 
ii 
Li 
ig JES-XBMALLRACF OPTION IS ACTIVE 
ii 
Lal 
ie TAPE DATASET PROTECTION IS ACTIVE 
Tet 


SECURİTY RETENTION PERİOD IN EFFECT IS 60 DAYS 


(*- Bu seçenek artık kullanılmamaktadır) 


© 


ERASE-ON-SCRATCH IS ACTIVE 
(ERASE-ON-SCRATCH BY SECLEVEL IS NOT ACTIVE) 
SINGLE LEVEL NAME PREFIX IS RACFPFX 


LIST OF GROUPS ACCESS CHECKİNG IS ACTİVE. 


INACTIVE USERIDS ARE NOT BEİNG AUTOMATICALLY REVOKED. 


e ec cc 


NO DATASET MODELLING BEİNG DONE. 

Dördüncü bölüm, parola maddesi 

PASSWORD PROCESSİNG OPTİONS: 

ig PASSWORD CHANGE INTERVAL IS 60 DAYS. 

ii PASSWORD MINIMUM CHANGE INTERVAL IS 0 DAYS. 


isi MIXED CASE PASSWORD SUPPORT IS IN EFFECT 
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ii 


ai 


ar 


5 GENERATIONS OF PREVİOUS PASSWORDS BEİNG MAINTAINED. 
AFTER 3 CONSECUTİVE UNSUCCESSFUL PASSWORD ATTEMPTS, 
A USERID WİLL BE REVOKED. 


PASSWORD EXPIRATION WARNING LEVEL IS 5 DAYS. 


INSTALLATION PASSWORD SYNTAX RULES: 


ii 


isi 


RULE 1 LENGTH(5:8) mmmmmmmm 
LEGEND: 


A-ALPHA C-CONSONANT L-ALPHANUM N-NUMERIC V-VOWEL W-NOVOWEL 
*“ANYTHING c-MIXED CONSONANT m-MIXED NUMERIC v-MIXED VOWEL İ- 
NATIONAL 


INSTALLATION DEFINED RVARY PASSWORD IS IN EFFECT FOR THE SWİTCH 
FUNCTION. 


INSTALLATION DEFINED RVARY PASSWORD IS IN EFFECT FOR THE STATUS 
FUNCTION. 


Beşinci bölüm, diğer maddeler 


SECLEVELAUDIT IS INACTIVE ile başlar; 


ve SECONDARY LANGUAGE DEFAULT : ENU ile biter. 


Bu bölümde yer alan konular: 


ÜOOCECCCE 


ECLEVELAUDIT IS INACTIVE 
ECLABEL AUDIT IS NOT IN EFFECT 
ECLABEL CONTROL IS NOT IN EFFECT 


ZZZ3ZOANWwWWw 


GOGGaGa © 
Lg 
l 
İni 
< Il ag İ 
İm 
W 
HI 
Kp 
W 
İni 
W 
Z 
© 
HI 
2, 
Gİ 
Gİ 
Cc) 
HI 
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6.0 RACF'in İZLENMESİ 


Güvenlikle ilgili olayları anında bildirme 
#i Konsola mesaj gönderme 
© Sisteme yetkisiz kullanıcıların girme teşebbüslerini bildirme 
© Kaynaklara yapılan yetkisiz erişim teşebbüslerini bildirme 
© Hatalı RACF işlemlerini bildirme 


© İstenirse kaynağın sahibini bilgilendirme 


& Mesaj bilgisi 
& Kullanıcı ya da işin sahibi kimdir WHO 
© Kullanıcı yada iş ne yapmak istiyor WHAT 
Güvenlikle ilgili olayları anında bildirme 
Sisteme yetkisiz bir kullanıcı logon olmak isterse RACF ICH4081 mesaj numarası ile 
konsola mesaj gönderir: 


RACF ICH4081 mesajının açıklaması aşağıdadır 


ICH4081 USER(userid) GROUP(group-name) NAME(user-name) 


RACE bir kullanıcı ya da iş tarafından yetkisiz bir istek (kural ihlali) tespit ederse bu mesajı 
yayınlar. 
Örnek: 


& Sisteme yetkisiz erişme teşebbüsü : 


«© |CH4081 USER(KAYHAN ) GROUP(SYS1  ) NAME(KAYHAN VİZYON) 610 
& LOGON/JOB INITIATION - INVALID PASSWORD ENTERED AT TERMİNAL 
TCP00014 


© |CH408I USER(KAYHAN ) GROUP(SYS1  ) NAME(KAYHAN VİZYON ) 
© LOGON/JOB INITIATION - EXCESSIVE PASSWORD OR PASS PHRASE ATTEMPTS 


Le 


ICH4081 USER(KAYHAN ) GROUP(SYS1  ) NAME(KAYHAN VİZYON ) 
LOGON/JOB INITIATION - REVOKED USER ACCESS ATTEMPT 
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& Kaynaklara yapılan yetkisiz erişim teşebbüsleri 


© ICH4081 USER(MYUSER ) GROUP(MYGROUP ) NAME(Me /u/myuser/path 
CL(DIRSRCH ) FID(01C7C3E6E5D4E400011E£000000000 INSUFFICIENT 
AUTHORITY TO LOOKUP ACCESS INTENT(--X) ACCESS ALLOWED(GROUP --) 
Bu mesaj kullanıcının LOOKUP çağırılabilir servisine sahip olmadığını bu yüzden 


lulmtuser/path 'e LOOKUP izninin (servis çağırma izni) olmadığını göstermektedir. 


& |CH4081 JOBL(INIT ) STEP( ) SCSTDRD CL(STORCLAS) INSUFFICIENT ACCESS 
AUTHORITY FROM * (G) ACCESS INTENT(READ) ACCESS ALLOWED(NONE) 


© ICH408 USER(CS06 ) GROUP(SYS1 ) NAME(BILL WHİTE ) 
EZB.NETACCESS.SC33.TCPIPD.MYPC CL(SERVAUTH) 
INSUFFICIENT ACCESS AUTHORITY 
ACCESS INTENT(READ ) ACCESS ALLOWED(NONE ) 
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7.0 RACF'in DENETLENMESİ 


Hiçbir sistem ve uygulama üçüncü taraf bir gözle kontrol edilmedikten ve 


denetlenmedikten sonra o sistemin güvenliğinin etkinliğinden bahsedilemez. 


Denetleme Gereklidir. 
RACF, denetçiye sistem güvenliğinin ne durumda olduğunu anlaması için ayrıntılı raporlar 


sunar. 


&w RACF sistemde olan olayları kayıt altına alarak eyleme kalkışan yetkisiz faaliyetleri 
raporlar; kullanıcıların ve yaptıkları aktivitelerin izlenmesini olanaklı kılar. 

& RACF raporlama adımından önce SMF kayıtlarını indirir ve bu SMF kayıtlarından, 
bir rapor yazıcı, XML arayüzlü raporlama oluşturur. 

# Rapor RACF-korumalı kaynaklara hangi kullanıcı kimliği ile erişim teşebbüsünde 
bulunulduğunu ve bu erişimlerden hangilerinin başarılı erişimler hangilerinin 


güvenlik tarafından engellenen erişimler olduğunu gösterir. 


Her ne kadar kuruluşların güvenlik gereksinimleri birbirinden biraz farklı olsa da, belirli 
RACF kullanıcı rolleri ve sorumlulukları bütün kullanıcılar için aynıdır. Herhangi bir 
kuruluşta, farklı kullanıcılar farklı seviyelerde güvenlik sorumluluğuna sahiptirler. Bazı 
kimseler güvenlikten geniş ölçüde sorumluyken bazı kimseler çok daha az ya da hiç 
sorumlu olmayabilirler. Bazı kullanıcıların kaynaklara sınırsız erişim yetkileri olması 
gerekirken, başka birilerinin sadece sınırlı erişim hakları olmalıdır. Bir kullanıcının hangi 
ölçüde güvenlikten sorumlu olacağını belirleyen temel varlık RACF kullanıcı niteliğidir. 
Kullanıcı niteliği RACF'in belirli bir kullanıcıya kuruluşta neler yapabileceğini tanımladığı bir 
niteliktir. SPECİAL niteliği, normal durumlarda örnek olarak RACF güvenlik yöneticisine 
verilir; SPECİAL niteliğine sahip bir kullanıcı, eğer o komut AUDITOR niteliğine sahip 


kullanıcıya ayrılmadıysa herhangi bir RACF komutunu girebilir. 


Güvenlik yöneticisinin işi RACF'i kontrol etmek olduğundan güçlerin bu şekilde ayrılması 
son derece gereklidir; denetçinin işi güvenlik yöneticisinin kurduğu kontrollerin yeterliliğini 


ve etkinliğini test etmektir. Bu anlamda, denetçinin işi bir 
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bankadaki finans denetçisinin işine çok benzer. 


SPECİAL niteliğine sahip bir kullanıcı, bir kimseye bir kere AUDITOR kullanıcı niteliğini 
verirse, o kişinin sorumluluğu RACF'in kuruluşun güvenlik hedeflerini karşılayıp 
karşılamadığını denetlemektir. RACF denetçisi olarak atanan bir kişinin işi AUDITOR (bir 
kullanıcı ya da sistem çapında RACF kontrollerini kontrol etme sorumluluğu) niteliğine de 
sahip olsa, group-AUDITOR (bir grup ve onun alt grupları için RACF kontrollerini kontrol 
etme sorumluluğu) niteliğine de sahip olsa esas olarak aynıdır. Özellikle group-AUDITOR 
niteliğine sahip bir kullanıcı belli bir grup ve onun alt grupları tarafından sahiplenilen 
kaynakları ve kullanıcıları izler, fakat AUDITOR niteliğine sahip bir kullanıcı ile çok benzer 


sorumluluklara sahiptir, birbirlerinden sadece kapsam farklılıkları vardır. 


Denetçinin Görev Kapsamı 


Sistem kapsamlı bakış 


Bedirli Kullanıcıların Faaliyetleri 


DENETÇİ — 


Belirli Genel Kaynağa Erşim 


e A 
gi 


Grup Kapsamındaki Kullanıcılar 


Grup - DENETÇİSİ 


« Grup Kapsamındaki Genel Kaynaklar 
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7.1 RACF denetleme araçları 


Kk! 


© Denetleme araçları: 


Veri Güvenliğini İzlemek (DSMON) 


o RACF Veri Unload Hizmeti (IRRDBUO00) 
o SMF Veri Unload Hizmeti (IRRADUO00) 


o RACF Rapor Yazıcısı (RACFRW) 


İki tip denetleme verisi vardır: 
1. İçeriği RACF veri tabanından elde edilen güvenlik verisi, bu veri herhangi bir zamanda 


sistem parametrelerinin anlık görüntüsü ya da statik imajıdır. 


2. Güvenlikle ilgili olayların istatistiksel verileridir, örneğin hangi tarihte, ne zaman 
güvenlikle ilgili nasıl bir olay oldu ve herhangi bir kullanıcı tarafından belli bir kaynağa kaç 


kez erişildi gibi. 
RACF şu aşağıdakileri tespit ettiği zaman güvenlik log kayıtlarını tutar: 
© Sisteme yetkisiz giriş teşebbüsleri 
© Yetkili ya da yetkisiz RACF komutları girilmesi teşebbüsleri 
© RACF'in statüsünde değişik olması 
© Kaynağa erişilme teşebbüslerini uyarı modu 


© İsteğe bağlı olarak yetkili ya da yetkisiz RACF'in koruduğu kaynaklara erişim 


olduğunda 
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Sistemin güvenliğini doğrulamak ve tehditleri tespit etmek veya olası güvenlik risklerini 
tespit etmeye yardımcı olması için bu kayıtların içeriği listelenebilir. Aşağıdaki programların 
her biri kuruluşun özel ihtiyaçlarına bağlı olarak güvenlik hedeflerini gerçekleştirmeye 


yardımcı olabilir: 


& SMF data unload utility 

# RACF data unload utility 

& RACF report writer 

#i Data security monitor (DSMON) 


7.2 RACF SMF data unload utility program (IRRADUOO) 


RACF denetleme verisi, kuruluşun güvenlikle ilgili olaylarının kayıtlarından meydana gelir. 
Bu veri, kuruluşun güvenlik politikasının etkinliğini doğrulamak için kullanılır, bu verilere 
bakılarak kuruluşun güvenlik hedeflerinin sağlanıp sağlanamadığı ve güvenlikle ilgili 


beklenmedik olayların meydana gelip gelmediği tespit edilir. 


SMF (IBM System Management Facility) z/OS işletim sisteminin bir bileşenidir. Bu bileşen 
sistemle ilgili yapılan bütün aktiviteleri SMF dataset'lerine yazarak kayıt altına alır. SMF 
zOS işletim sisteminin sistem standartlaştırma metodudur. SMF'in kayıt altına aldığı 
aktiviteler /O, network aktiviteleri, yazılım kullanımları, hata durumları, işlemci verimliliği 


gibi aktivitelerdir. 


zZOS işletim sisteminin SMF kayıtlarını kullanan en belirgin bileşenlerinden biri RMF 
(Resource Measurement Facility) dir. RMF, işlemci, memory, disk, cache, workload, virtual 
storage, XCF ve Coupling Facility gibi pek çok kaynakların kullanımı ve performansı 


hakkında raporlar üretir. 


Her bir SMF kaydı bir type ile numaralandırılmıştır. (örneğin SMF 120 veya SMF 89). Bazı 
kayıtların subtype'ları da vardır — örneğin Type 70 Subtype 1. 


SMF type 80 kayıtları güvenlikle ilgili kayıtlardır. Parola ihlalleri, engellenen kaynak erişim 


girişimleri gibi güvenlik kayıtlarını içerir. 
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RACF SMF data unload utility programı RACF denetleme kayıtlarını işlemek için önerilen 
bir utility'dir. Bu programla güvenlikle ilgili denetleme verisi bir seguential dosyaya çıkılır. 


Bu seguential dosyadan birbirinden farklı şekilde yararlanılır: 


“Dosyayı doğrudan görüntüleyerek 

&i Kuruluş tarafından yazılan programlarda bu dosyayı girdi olarak kullanarak 
#i sortmerge olanaklarını kullanarak bu dosyadan raporlar üreterek 

& XML — formatlı çıktı almada 


Ayrıca bu dosya karmaşık sorgulamalarda ve kuruluş tarafından geliştirilecek raporlarda 


kullanılmak üzere bir veri tabanı yöneticisine de yüklenebilir (örneğin DB2'ya) 


IRRADUO0O0 programı aşağıdaki SMF kayıtlarını işler: 


Type 30 


Account ile ilgili bilgi sağlar - Subtype 1 (Bir İşin başlaması ya da bir iş biriminin başlaması) 
ve subtype 5 (İş bittiğinde) 


SMF type 30'u aşağıdakilerden birisi meydana geldiğinde yazar: 


Bir iş birimi (Örneğin TSO/E oturumu, APPC/MVS transaction programı, OMVS forked ya 
da spawned adres alanı, started task ya da toplu iş) başladığında. Bu subtype 1 kaydı iş 
birimini tanıtır fakat kaynak veriyi içermez. 


Bir iş birimi (Örneğin TSO/E oturumu, APPC/MVS transaction programı, OMVS forked ya 
da spawned adres alanı, started task ya da toplu iş) bittiğinde. Eğer süre hesaplanması 
talep edildiyse, SMF subtype 5 kaydı üretir bu kayıt iş biriminin çalışması süresince 
kullandığı toplam kaynakları gösterir. 


Type 80 


Kaynaklara erişim — bu kayıt subtype'lar içermez 


RACF aşağıdaki olayları tespit ettiğinde SMF'e type 80 olarak kayıt yazar: 
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Sisteme yetkisiz olarak girme teşebbüsleri. RACINIT makrosu, RACF 'e tanımlı 
kullanıcının kullanıcı kimliğini ve kimlik doğrulamasını yapmak için kullanılan makrodur. 
Örneğin RACF, RACINIT makrosunu işleme koyarken, RACF'e tanımlı bir kullanıcının ya 
(1) geçersiz parolayla ya da grup adıyla, (2) yetkisi olmayan bir terminalden ya da (3) 
yetersiz güvenlik etiket yetkisiyle sisteme giriş yapmaya çalıştığını tespit ettiğinde SMF'e 
kayıt ettirir. RACF her zaman bu tür ihlali kayıt altına alır. 


Sisteme yetkili olarak girme teşebbüsleri. RACF, ENVİIR-CREATE ya da 
ENVİREDELETE signon'ları ya da signoff'ları kadar iyi, başarılı signon'lar ve signof'lar ı 
kayıt altına almak için RACINIT makro istek seçeneğini sağlar. RACINIT makrosu, RACF 


kullanıcı tanımlamayı ve doğrulamayı sağlamak için kullanılır. 


RACF-korumalı kaynaklara yetkili ya da yetkisiz erişim teşebbüsleri. 


& RACF, RACHECK ya da RACDEF istek makrosunu işlerken aşağıdaki olaylardan birinin 
meydana geldiğini tespit ettiğinde bu olayı SMF'e kayıt ettirir. 

& Kullanıcı RACF-korumalı bir kaynağa erişime izinli ve kaynakla ilgili bir işlem yapma 
müsaadesine sahip olarak kaynağa erişmişse. 

& Kullanıcı RACF-korumalı kaynağa erişmek için grup yetkisine ya da yeterli erişim 
yetkisine sahip değilse ya da RACF-korumalı kaynak üzerinde bir işlem yapma 


teşebbüsünde bulunurken geçersiz veri girişinde bulunursa. 


RACF veri tabanındaki profillerin yetkili ya da yetkisiz değiştirilme teşebbüsleri. 


RACF komut işleme sırasında, kullanıcının AUDITOR niteliğine sahip olduğunu 


tespit ederse aşağıdaki durumları log'a kayıt eder: 


& RACFDEF isteği olduğunda ve RACF komutlarıyla RACF veri tabanında bir 
değişiklik yapıldığını tespit ettiğinde 
& SPECİAL niteliğine sahip bir kullanıcı tarafından RACF komutları girildiğinde 
(LISTDSD, LISTGRP, LISTUSER, RLIST, LDIRECT, LFİLE, SRDIR, 
SRFILE ve SEARCH komutları hariç) 
& Kullanıcı ve tüm RACF komutları için, tüm RACHECK ve RACDEF istekleri 
yayınlandığında (LISTGRP, LISTUSER, RLIST ve SEARCH hariç) 
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SMF kayıt 80 aşağıdaki bilgileri içerir: 


Kayıt tipi 

Time stamp (zaman ve gün) 

İşlemci kimliği 

Olay kodu ve niteleyici 

Kullanıcı kimliği 

Grup adı 

Taşınma bölümlerinin sayısı 

Başarılı yerine getirilen komutlarda yada kaynaklara erişimlerde kullanılan yetkiler 
Logon olma sebepleri 

Error flag oluşturan komut 

Ön plandaki kullanıcı terminal ID'si 

Ön plandaki kullanıcı terminal seviye numarası 
RACF versiyonu, release ve değişim numarası 
Kullanıcının SECLABEL'i 

Eğer varsa alternatif kullanıcı ID 


Type 81 


RACF'in başlatılması sona erdiğinde kayıt type 81 SMF'e yazılır - bu kayıt subtype'lar 


içermez. Bu kayıt aşağıdaki bilgileri içerir: 


Kayıt tipi 

Time stamp (zaman ve tarih) 

İşlemci kimliği 

Processor identification 

RACF veri tabanının adı 

Her bir RACF veri tabanının Volume adı 
Her bir RACF veri tabanının ünite adı 
UADS datasetinin dataset adı 

UADS datasetinin volume adı 

RACF seçenekleri 


Parolanın maksimum geçerlilik süresi 
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Type 83 


Kayıt type 83 güvenlik ile ilgili olayların denetlenmesi için kullanılan kayıttır. Bir güvenlik 
olayı yetkilendirme ve kimlik doğrulama teşebbüsleridir. 


&“ Subtype 1, Güvenlik etiketi değiştirilmesinden etkilenen dataset'ler 
& Subiype2, EİM (Enterprise Identity Mapping) audit 
& Subiype3, LDAP audit 
& Subtype 4, Remote audit 
# Subtype 5, Websphere audit 
& Subitype 6, TKLM audit 
.3 


7.3 IRRADUO00 Programının Kullanışı 


RACF SMF data unload hizmeti SMF Dump Hizmetlerini (IFASMFDP ya da IFASMFDL) 
“sürücü” modülü olarak kullanır. RACF SMF data unload utility işlemini talep etmek için 
IFASMFDP ya da IFASMFDL'in SYSIN data stream'inde USER2 ve USER3 exit'leri olarak 
RACF'in data unload utility modüllerinin ismi girilir (IRRADUO00 and IRRADU86) 


Aşağıda IRRADUOO0 programının kullanımına örnek bir JCL gösterilmiştir: 


//SMFUNLD JOB (VBT), 'KAYHAN- Z0S13',CLASS-A, MSGCLASS—X,MSGLEVEL-(1,1), 


// NOTIF'Y—&SYSUID, TIME-NOLIMIT, REGION-OM 


//SMFDUMP EXEC PGMZIFASMFDP 


//SYSPRINT DD SYSOUT-A 


//ADUPRINT DD SYSOUT-A 
//OUTDD DD DISP-SER, DSN-KAYHAN .RACF.IRRADUOO 
//SMFDATA DD DISP-SHR, DSN-SYSI .VBT.MAN2 


//SMFOUT DD DUMMY 
//SYSIN DD * 
INDD (SMFDATA, OPTIONS (DUMP) ) 


OUTDD (SMFOUT, TYPE (000:255)) 


NORETRY) 
RADUO00) 


RADU86) 
/* 
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JCL'de OUTDD dataset'in LRECL'i 12288, BLKSIZE'ı ise 12292 olmalıdır. Bu JCL'i 
çalıştırmadan önce aktif SMF dataset'leri görüntülemek için konsoldan d smf komutu 
girilmelidir. 


---> d smf 


RESPONSE—VBT 


IEE9741 16.07.38 SMF DATASETS 426 

NAME VOLSER SIZE(BLKS) 3FULL STATUS 
P-SYSI.VBT.MANI SEP3C3 786420 O ALTERNATE 
S-SYSI.VBT.MAN2 SEP3C3 786420 6l ACTIVE 
S-SYSI.VBT.MAN3 SEP3C4 786420 O ALTERNAT 
S-SYSI.VBT.MAN4 SEP3CA4A 786420 O ALTERNAT 
S-SYSI.VBT.MANS5 SEP3C5 786420 O ALTERNAT 
S-SYSI.VBT.MAN6 SEP3C5 786420 O ALTERNAT 


Bu örnekte SYS1.VBT.MAN2 dataseti aktif görülmektedir. Eğer sistemde o an için 
denetleme raporu alınacaksa JCL'de /SMFDATA DD adımına aktif olan bu dataset'in adı 
yazılmalıdır. Pek çok kuruluşta geçmişe dönük SMF kayıtlarından rapor alınması istenir. 
Bu durumda SMF data'larının toplandığı geçmişe yönelik dataset'lerin isimleri sistem 


programcısından öğrenilmelidir. 


SMFUNLD örnek job'ının SYSPRINT'inin çıktısından hangi SMF type'larında ne kadar 
kayıt olduğu görülebilir: 


SUMMARY ACTIVITY REPORT 


START DATE-TIME 06/18/2014-12:10:00 END DATE-TIME 
RECORD RECORDS PERCENT AVG. RECORD MIN. RECORD MAX. 

TYPE READ OF TOTAL LENGTH LENGTH 

2 0 
3 0 

30 6,923 26.85 $ 1,302.38 400 

42 1,197 4.64 $ 362.50 308 

70 50 19 3 4,356.00 172 

71 25 10 $ 2,036.00 2,036 

72 975 3.78 3 1,807.26 ,132 

73 25 10 $ 21,656.00 21, 656 

74 , 425 5.53 3 18,049.05 364 

75 150 58 3 264.00 264 

78 50 19 3 10,672.00 ,888 

80 ,118 4.34 $ 288.79 180 

89 206 80 $ 1,897.78 782 

100 12,328 47.81 $ 2,047.50 290 

101 235 91 $ 1,540.32 ,328 

102 , 080 4.19 $ 1,923.27 650 

TOTAL 25,787 100 $ 2,586.96 172 

NUMBER OF RECORDS IN ERROR (0) 
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SMFDUMP'ın ADUPRINT çıktısında hangi SMF type'ndan kaç kayıdın işlendiği görülebilir: 


IRR676521I The 
IRR676521I The 
IRR676521 


IRR676551 


The 
The 
IRR67655I The 
IRR676551 


IRR676551 


The 
The 
IRR676551 
IRR676551 


The 
The 
IRR676531I The 


IRR67650I SMF 


utility 
utility 
utility 
utility 
utility 
utility 
utility 
utility 
utility 
utility 


processed 


processed 


processed 
processed 


processed 


processed 0 
processed 0 


processed 0 


© o © 


processed 0 


159 SME type 30 records. 
12 SME type 80 records. 


SME type 81 records. 

SME type 83 subtype 1 records. 
SME type 83 subtype 2 records. 
SME type 83 subtype 3 records. 
SME type 83 subtype 4 records. 
SME type 83 subtype 5 records. 
SME type 83 subtype 6 records. 


data unload utility has successfully completed. 


örnekteki çıktı dosyası KAYHAN.RACF.IRRADUO0O0 


SMF Unload Utility çıktı örneği: 


JOBINIT SUCCESS 09: 
JOBINIT TERM 09: 
JOBINIT SUCCESS 09: 
JOBINIT SUCCESS 09: 
JOBINIT SUCCESS 10: 
JOBINIT TERM 10: 
JOBINIT TERM 10: 
JOBINIT TERM 10: 
SETROPTS INSAUTH 13: 
ALTUSER SUCCESS 13: 
JOBINIT SUCCESS 13: 
SETROPTS SUCCESS 13: 
SETROPTS SUCCESS 13: 
DIRSRCH SUCCESS 13: 
DIRSRCH SUCCESS 13: 
DIRSRCH NOTAUTH 13: 
CHKFOWN OWNER 13: 
CHMOD SUCCESS 13: 
CHOWN SUCCESS 13: 
FACCESS SUCCESS 13: 
JOBINIT SUCCESS 13: 
SETEUID SUCCESS 13: 
DIRSRCH SUCCESS 13: 
DIRSRCH SUCCESS 13: 
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01: 
01: 
50: 
50: 
01: 
01: 
23: 
23: 
39: 
40: 
40: 
41: 
42: 
43: 
43: 
43: 
44: 
44: 
44: 
44: 
44: 
44: 
44: 
44: 


00 
00 
35 
35 
00 
00 
59 
59 
12 
12 
46 
46 
17 
11 
11 
11 
28 
28 
28 
28 
30 
31 
31 
31 


2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 
2014-06-02 


VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 
VBT 


YES NO NO 
NO NO NO 
CENAL MEG 
NO NO NO 
NO NO NO 


NO NO NO 
NO 


YES 


NO 
NO 


NO 
NO 
NO 


NO NO 


NO NO NO 
NO NO 
NO NO 


İREM 


NO 
NO 
NO NO NO 
NO NO 
NO NO 


NO 
NO 
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bypassed 530 SMF records not related to IRRADUOO. 


STCADMIN 
STCADMIN 
STCADMIN 
STCADMIN 
STCADMIN 
STCADMIN 
STCADMIN 
STCADMIN 


CENAL MEG 
CEMAL MEG 


CEMAL MEG 
CEMAL MEG 
ADEM FINC 
ADEM FINC 
ADEM FINC 
İREM SYSI 
İREM SYSI 
İREM SYSI 
İREM SYSI 
İREM SYSI 
İREM SYSI 


İREM SYSI 


STCGROUP 
STCGROUP 
STCGROUP 
STCGROUP 
STCGROUP 
STCGROUP 
STCGROUP 
STCGROUP 
NO NO NO NO 
NO YES NO NO 


NO NO NO YES 
NO YES NO YES 
YES NO NO NO 
YES NO NO NO 
YES NO NO NO 
NO 
NO 
NO 
NO 


NO NO NO 


NO NO NO 
NO 


NO 


NO 
NO 


NO 
NO 


NO 
NO 
NO 


NO NO NO 
NO 


NO 


NO 
NO 


NO 
NO 


7.4 RACF veri tabanı unload utility programı (IRRDBU00) 


IRRDBUM0 RACF database unload utility (IRRDBU00)'den rapor üretmek için aşağıdaki 
JCL kullanılarak RACF veri tabanı bir düz dosyaya (flatfile'a) unload edilir. Bu işlemi 


yapmadan önce RACF güvenlik yöneticisine başvurulup, gerekli bilgiler alınmalıdır. 


KAkKAkKAkKAkKkAKkKAkKAkKA KAKA KAKA KkKkAk*K Top of Data #*KAAAAKAAKAKKAAAAAKAAAKKAAAKAKAKK 


//IRRDBOO JOB (VBT), 'KAYHAN-ZOS13',CLASS-A, MSGCLASS—X, MSGLEVEL-(1,1), 
// NOTIFY-&SYSUID, TIME-NOLIMIT, REGION-OM 

//UNLOAD EXEC PGMZIRRDBUO00, PARM-NOLOCKINPUT 

//SYSPRINT DD SYSOUT-* 

//INDDI DD DISP-SER, DSN-SYSI .RACF 
//OUTDD DD DISP-SHR, DSN-KAYHAN .RACFICE .IRRDBUO00 


KAKAKKAAAAKAAAKKAAAAkKKAA4Xk*X* Bottom of Data #KAKAAKAKAKAKAAKAKAAKAKAAAAAKKKK 


Bu JCL de OUTDD adımındaki IRRDBUO00 datasetinin özellikleri şöyle olmalıdır: 


Organization . . . : PS 

Record format . . . : VB 

Record length . . . : 4096 

Block size . . . . : 27998 

Ist extent cylinders: 450 Kuruluşa göre değişir, RACF 


veri tabanından küçük olmamalı 


Secondary cylinders : 0 
Dataset name type 
SMS Compressible. . : NO 
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7.5 Rapor oluşturmak için DFSORT ICETOOL'u kullanmak 


IBM'in DFSORT ürünü ICETOOL bir raporlama hizmeti sağlar. IRRADUO00 ve IRRDBUOO 
programlarından üretilen çıktı dataset'lerinden DFSORT ICETOOL utility'sini kullanarak 


raporlar elde edilebilir. 


RACF RACFICE PROC'unu kullandırarak ICETOOL raporları oluşturulmasını kolaylaştırır. 
Bu prosedür SYS1.SAMPLIB kütüphanesinde IRRICE member'ındadır. IRRICE bütün 
raporlar için kullanılabilen raporlama formatları için ICETOOL adımlarını ve belirli kriterlerin 
seçilebilmesi için de DFSORT adımlarını kullanır. IRRICE member'ında 4 tane JOB ve 
prosedür bulunur. IRRICE member'ındaki RACFICE prosedür kullanılmak istenirse, bu 
member'dan alınıp, sistemin prosedür library'sine kopyalanmalıdır. 

DFSORT'un ICETOOL Ultilitisi: 


Direct invocation —> ICETOOL DFSORT 


RANGE 
SELECT 
SORT 


STATS 
UNİGUE 
Program invocatilon —> VERIFY 


Reports 
and 
Messages 


RACFICE PROC'unu kullanarak kuruluş kendi istediği raporları oluşturabilir. 
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7.6 RACFICE'nin Kuruluşu 


& Önce aşağıdaki özelliklere uygun boş bir PDS oluşturulur. Bu dataset'e daha sonra 


RACFICE nin sunduğu raporlar konacaktır. 


Record Format: FB 
LRECL :80 
Size : 10 tracks 
& SYS1.SAMPLIB kütüphanesinden IRRICE member'i birinci adımda oluşturulan 
PDS'e SYS1.SAMPLIB'deki RACJCL'in içinde bulunan ICEUPDTE job'ı ile unload 


edilir. Örnek unload JCL'i aşağıda verilmiştir. 


//ICEUPDTE JOB (VBT), 'KAYHAN-ZOS13',CLASS-A, MSGCLASS—X, MSGLEVEL-(1,1), 
// NOTIF'Y—-&SYSUID, TIME-NOLIMIT, REGION-OM 


İŞJİKKKKKKAKAKAKAKKAKAKAKAKAKAKKAKAKAKAKAKAKKAKKAKA KA KAKKAKAKAAKAKAKAKKAKK 


//* RACF Unload RACFICE Raporları 

İŞJİKKKKKKAKAKAKAK KAKA KAKAKAKKAKARKAKAKAKKAKAKKAKAKAKKAKAKAKAKAKAKAKKAKK 
/ /UNLOAD EXEC PGM<TEBUPDTE, PARM-NEW 

//SYSPRINT DD O SYSOUT—* 
//SYSUT2 DD DSN-KAYHAN .RACFICE.CNTL, DISP-OLD 
//SYSIN DD DSN-SYSI.SAMPLIB(IRRICE) ,DISP-SAR 


Yukarıdaki ICEUPDTE job'ı çalıştırıldığında, KAYHAN.RACFICE.CNTL dataset'ine rapor 
job'ları unload olur. Bu PDS'de yer alan ve denetlemede kullanılacak raporlardan bazıları 


aşağıda verilmiştir. 


RACF Denetleme Raporları 


Adı Tanımı 

ACDİ Otomatik komut yönetimini kullanan kullanıcılar 
CADU IRRADUOO olaylarının sayısı 

CCMD Kullanıcılar tarafından verilen komutların sayısı 
ECDİ Açıktan komutları yöneten kullanıcılar 

LOGB LOGON BY ile logon olan kullanıcılar 


LOGF Hatalı parola girme hakkını aşan tüm kullanıcılar 


OPER OPERATIONS yetkisine sahip kullanıcının izinli erişimleri 


PWDİ Parola senkronizasyonunu kullanan kullanıcılar 


RACL RACLINK denetleme kayıtları 
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INC RACF class başlatma kayıtları 


ELU Belirli bir kullanıcı için tüm denetleme kayıtları 


RMF Terminallerden aşırı hatalı parola girilmesi 


R 

5 

SPEC SPECIAL yetkisine sahip kullanıcının başardığı eylemler 
TR 

V 


IOL Kural ihlali içeren erişimler Access violations 


WARN WARNING mod profilleri nedeniyle izinli erişimler 


RACF RACFICE PROC'unu kullandırarak ICETOOL raporları oluşturulmasını kolaylaştırır. 
Bu prosedür unload sırasında RACFICE PDS datasetine inmiştir. RACFICE bütün raporlar 
için kullanılabilen raporlama formatları için ICETOOL adımlarını ve belirli kriterlerin 
seçilebilmesi için de DFESORT adımlarını kullanır. RACFICE prosedür kullanılmak istenirse, 
bu member'dan alınıp, sistemin prosedür library'sine kopyalanmalıdır. RACFICE prosedürü 
aşağıda verilmiştir. 


//RACFICE PROC REPORT Name of report 


İ(KİKAKAKAKKAKAKAKAKAKAKAKKAKAKAAKAKAKAKKAKAKAAKAKAKAAKAKAAAAX 


//* These samples are provided for tutorial purposes only. ** 


//X This code has not been submitted to formal IBM testing.** 


//* This source is distributed on an Üas-isüÜ basis, ini 
//* without any warranties either expressed or implied. ii 
//* x* 
//X* (c) Copyright 1994, 2002 IBM Corporation 


İÇ(KİKKKAKAKKAKAKAKAKAKAKAKKAKAKAAKAKAKAKKAKAKAAKAKAKAAKAKAAAAK 


İÇ(KKKKAKAKAKKAKAKAKAKAKAKAKAA KARAR KAKAKAKKAKAKAAKAKAKKAKAKAAAAK 


(e See the ÜDFSORT Application Programming: #* 
//* GuideÜ (SC33-4035) for more information on XX 
ek DFSORT and ICETOOL. 6 
İJEKEKEKKAKKEKARARAAAAKARAAAARRAAAAARAAAAARARAAAAAAAAAAAKAAAAK 
/J* pan 
//* DDNAME © USE ** 
Yl Arai ak RR iler ba la na Pa GRİM i* 


//X* ADUDATA IRRADUOO output that is input to the report KX 


//* DBUDATA IRRDBUOO0 output that is input to the report Li 
//X DESMSG DFSORT diagnostic and informational messages ** 
//X* PRINT Report output m 


//* TEMP0001 Work dataset XX 


//* TOOLMSG ICETOOL diagnostic and informational messages ** 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 253/525 


İŞJİKKKKKİKAKKAKAKAKAKKAKAKAKA KA KAKAKKAKAKAAKAKAKKAKAKAAKAKAKAK 


//RACFICE EXEC PGM-ICETOOL 

//TOOLMSG DD DUMMY 

//PRINT DD SYSOUT—* 

//DESMSG DD DUMMY 

//ADUDATA DD DISP-SER, DSN-&ADUDATA 

//DBUDATA DD DISP-SER, DSN-&DBUDATA 

//TEMPO001 DD DISP-(NEW, DELETE, DELETE) , SPACE-(CYL, (20,5,0)), 
// UNIT—SYSALLDA 

//TOOLIN DD DISP-SHR, DSN-&ICECNTL (&REPORT) 

//RACECNTL DD DISP-SHR, DSN-&ICECNTL (&REPORT.CNTL) 


IRRDBUO00 RACF veri tabanı unload utility (IRRDBUO00)'sinden üretilen datasettir. 
IRRADUOMO RACF SMF unload utility (IRRADUO00)'sinden üretilen datasettir. 


REPORT Bu prosedürde üretilecek raporun adı 


ABUDATA IRRADUOO programının çıktısı RACFICE prosedüründe bu adımda girdi olarak 


kullanılacaktır. 


DBUDATA IRRDBUO00 programının çıktısı RACFICE prosedüründe bu adımda girdi olarak 


kullanılacaktır. 


Bu prosedürde kullanılan değişkenler prosedürü kullanan JOB tarafından üstüne 
yazdırılarak (override) değiştirilebilir. | Örneğin eğer prosedürde default IRRDBUOO ve 
IRRDUOO dataset'leri belirtildiyse, JCL ile belirli bir kullanıcı için her şeyi listeleyen bir 


denetleme raporu oluşturulabilir: 


//obname JOB Job card... 
/Istepname EXEC RACFICE,REPORT—SELU 


Eğer default IRRDBUO00 ya da IRRADUOO dataset'leri prosedürdekiyle aynı değilse, JCL 
de uygun dataset isimleri yazılarak prosedürdeki isimlerin üzerine yazdırılabilir, bu 
durumda prosedürde değişiklik yapma gereği kalmaz. Örneğin IRRDBUOO çıktısı 
USER01.TEST.IRRDBUO0 ise ve IRRADUO0 çıktı dataseti USER01.TEST.IRRADUO0 ise, 
bu dataset'lerin adı prosedürde farklı bile olsa, JOB'ın JCL'inde aşağıdaki gibi girilerek 


prosedürde değişiklik yapılmasına gerek kalmaz. 
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/|obname JOB Job card... 

/ SET ADUDATAZUSER01.TEST.IRRADUOO 
// SET DBUDATAZUSER01.TEST.IRRDBUOO 
IIstepname EXEC RACFICE,REPORTZSELU 


Çalıştırılmak istenen rapor job'ları unload edilen PDS datasetinde 


$$CNTL$$ isimli 


memberda yer almaktadır. Buradan istenen rapor seçilip çalıştırılır. 


Örnek: SELU 

//USERO1I JOB MSGLEVEL-(0,0),CLASS-5, NOTIFY—&SYSUID, MSGCLASS—X 
/#JOBPARM S-ANY,LINES-99 

// JCLLIB ORDER-KAYHAN .RACFICE .CNTL 

// SET ADUDATA-KAYHAN .RACFICE.IRRADUOO IRRADUOO data 
// SET DBUDATA-KAYHAN .RACFICE.IRRDBUOO IRRDBUOO data 
4. SET ICECNTL-KAYHAN .RACFICE.CNT ICETOOL data 
//* A EŞ EŞE EŞ Yİ AŞA a KİÇ EŞ MS Mi > ŞE MA MAŞLİÇ PAİR KE PE İŞ EYE EEE EYE HAZE Rİ İŞ, ME ME EŞE KADERİN 
//* EŞEN ME iye EE ŞEŞEN LL Az AŞAN ŞALE Şiş ŞİLE LEŞ EŞEN ÇE AR MENEM EŞ Mia EŞİ: ŞİR SEYE HERE EŞLEŞME e ŞER LEŞ EŞLE Şiz ŞAM EŞ SARAL MEŞR IN 
ff esme IRRADU00-Based Reports ————————————————————————-—-——--—-—-———-— 
//* al li may in la a KR a nn ik ay m YA eşi ln şi Si MA İLERİ a 8 Ri 
//SELU EXEC RACFICE, REPORT-SELU 


Örnek bir rapor formatı aşağıda verilmiştir: Bu format IRRICE member'ında vardır. 


KAkKAkKAkKAkKkKAkKAkKAkKkAkkKA KAKA KAKA KKKA KAKA kkk kA KAKA kKAkAkkkk*k 


*N 


* 


* xXx » 


k *X 


Ss 


ame: 


ELU * 


* 


D. 


Find all of the records which are applicable to a specific * 
kullanıcı I 


KAkKAkKAkKAkKkKAkKA KAKA KKKA KAKA KKKA KAKA kkk KAKA KKKA KA kkk kkk*k 


COPY FROM(ADUDATA) TOK 
DISPLAY FROM(TEMP0001) 
PAGE — 

TITLE(”SELU: Events As 
DATE (YMD/) - 

TIME (12:) - 

BLANK - 

ON(63,8,CH) HEADER(' ku 
ON(72,8,CH) HEADER('Gr 
ON(5,8,CH) HEADER(”'Eve 
ON(12,8,CH) HEADER('ÇOu 
ON(23,8,CH) HEADERÇ('Ti 
ON(32,10,CHA) HEADER('D 
ON(43,4,CH) HEADER(' Sy 
ON(175,8,CH) HEADER(”'T 
ON(184,8,CH) HEADER('J 


Bu örnekte seçilen bir kullanıcya göre (Rapor adı :SELU 


oluşturulacaktır 
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TEMP0001) USING(RACE) 
LIST(PRINT) 


sociated with a Specific User')- 


llanıcı ID”) 
oup”') 
nt) 
alifier') 
me” ) 
ate') 
stem” ) 
erminal” ) 
obname” ) 


SELECTED USER ) rapor 


255/525 


Kayıt seçme kriteri 


Kayıt seçme kriteri yani raporun hangi kayıta göre oluşturulacağını belirten kriter SORT ve 
INCLUDE gibi DESORT'un kontrol adımlarında kullanılır. Örneğin: 


INCLUDE COND-(63,8,CH,EO,C'KAYHAN') 
OPTION VLSHRT 


Bu da aynı PDS datasetinde SELUCNTL member'ındadır. Bu memberda istenilen 


değişiklik yapılarak istenen rapor alınır. 


Belirli bir kullanıcı ile ilgili olayları listeleyen örnek rapor. Bu rapor belirli bir kullanıcı ile ilgili 
IRRADUO00'ın tüm kayıtlarını raporlamaktadır. Daha önceki örnekte IRRADUO00 programı 
ile SMF'ten tüm kayıtlar alınmıştı, bu tüm kayıtların içinden KAYHAN kullanıcısının yaptığı 
olayları raporlamak için RACFICE prosedürünü kullandık. 


SELU: Events Associated with a Specific User 14/06/18 04:29:43 pm 


kullanıcı!ID Group Event Result Time Date System Terminal Jobname 
KAYHAN sysı ACCESS SUCCESS 12:12:03 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı ACCESS SUCCESS 12:12:04 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı ACCESS SUCCESS 12:12:04 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı ACCESS SUCCESS 12:12:04 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı DELRES SUCCESS 13:34:51 2014-06-18 VBT TCPO00044 KAYHAN 
KAYHAN sysı ACCESS SUCCESS 13:34:54 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı ACCESS SUCCESS 13:34:54 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı ACCESS SUCCESS 13:35:13 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı DEFINE SUCCESS 13:35:13 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN sysı DELRES SUCCESS 15:54:26 2014-06-18 VBT TCP00044 KAYHAN 
KAYHAN SYsı ACCESS SUCCESS 15:55:27 2014-06-18 VBT SMF'UNLD 


Örnek Uygulama 


Aşağıdaki adımları uygulayarak RACFICE PROC'unu kullanıp kendi raporlarımızı nasıl 
oluşturacağımıza dair örnek bir çalışma yapalım: 

Oluşturacağımız rapor, birden fazla kullanıcının kaynaklara erişimlerini listelesin. 
Kullanacağımız raporun formatı daha önce hazırladığımız KAYHAN.RACFICE.CNTL 
partittoned dataset'in içinde SELU rapor formatında olacaktır (Belirli kullanıcı ID'lerinin 


erişim yaptıkları kaynakları bulan rapor) . 
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1. Önce raporda yer almasını istediğimiz kayıtları belirleyelim. 

Kayıt belirtme kriteri için DESORT adımlarını tanımlamalıyız. 

örneğin FUNDA, MERYEMG ve SERAPO adlı kullanıcıların hangi kaynaklara eriştiklerini 
raporlamak isteyelim: SELU rapor formatı için kayıt belirleme kriteri formatı da yine 
KAYHAN.RACFICE.CNTL de SELUCNTL member'ında verilmiştir: 


SORT FIELDS- (63,8,CH,A,32,10,CH,A,23,8,CH,A) 


INCLUDE COND-(63,8,CH,EO,C'userid',AND, 


5,8,CH,NE,C'RACFINIT',AND, 
5,8,CH,NE,C'CLASNAME',AND, 
5,8,CH,NE,C'DSAF' ) 


OPTION VLSHRT 


Bu memberın ilgili yerlerini istediğimiz rapora uygun olarak aşağıdaki gibi değiştirelim: 


INCLUDE COND-(63,8,CH,EO,C'FUNDA”,OR, 
Gs, (8, (GR, 1lO), (€ YMIIRSL ME” , (OE 


6517487116 Hi) SR VE (0) 
OPTTION VLSHRT 


Sonra bunları RACFICE raporunda PMLCNTL member'ına yerleştireceğiz. 
2. Kullanmak istediğimiz rapor formatını belirleme. 
a. Rapor formatı için ICETOOL adımlarını tanımlama 
Oluşturacağımız raporun formatını belirlemek için yine KAYHAN.RACFICE.CNTL de 


bulunan SELU member'ını kullanacağız. Bu memberın görüntüsü aşağıdaki gibidir: 


KAkKAkKAkKAkKkKkKAKAkKAKKAkKAkKA KKKA KAKA KKKA KAKA KAKA KA kkk kAkAkkkXk 


* Name: SELU İğ 
* * 
* Find all of the records which are applicable to a specific X 
* kullanıcı 1D. # 
* * 


KAkKAkKAkKAAkKKKkKAkKAkKAKKAkKAkKİ KKKA KAKA KAKA KKKA KAKA kkk kA KAKA KA kkk kAkAkkkX 


COPY FROM(ADUDATA) TO(TEMPO0001) USING(RACF) 
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DISPLAY FROM(TEMP0001) LIST(PRINT) — 


PAGE -— 


TITLE('SELU: Events Associated with a Specific ÜUser') - 


TIME(12:) > 

BLANK - 

ON(63,8,CH HEADER('kullanıcı ID') - 
ON(72,8,CH HEADER('Group') - 
ON(5,8,CH) HEADER('Event') -— 
ON(14,8,CH HEADER('Result') — 
ON(23,8,CH HEADER('Time') — 
ON(32,10,CH) HEADER('Date') - 

ON (43,4,CH HEADER('System') -— 
ON(175,8,CA) HEADER('Terminal') - 
ON(184,8,CH) HEADER('Jobname') 


KAKAKKAAAKAKAAAKAAAAKKAA4Xk*X* Bottom of Data #KAKAAKAKAKAKAAKAKAAAKAAAAKKAK 


Bu memberın sadece title'ını rapora uygun olarak aşağıdaki gibi değiştirelim: 


TITLE(' FUNDA, Meryemg ve SERAPO'nun erişimleri”) - 


3. Oluşturacağımız raporun kayıt belirtme kriterini ve rapor formatını oluşturduktan sonra, 
raporu çalıştıracak JCL'i hazırlamalıyız.  KAYHAN.RACFICE.CNTL de bütün raporların 
hazır JCL'lerini tutan $$CNT$$ job'ını kullanacağız. Bu job'ın içeriği aşağıdaki gibidir: 


EDIT KAYHAN.RACFICE .CNTL(İİCNTLİİ) - 01.00 Columns 00001 00072 
Command ——-> Scroll -—-> CSR 
KKKA kkk kkkkkkkkkkk Top of Data ##K#KAAAkAAAAkKAAkKEKKkAAkkAAkk 
000001 //USERO1II JOB MSGLEVEL-(0,0) ,CLASS—5 ,NOTIFY—&SYSUID ,MSGCLASS—H 
000002 /*JOBPARM S-ANY,LINES—99 

000003 //4-—-—-—--—-—— m mm m mmm mmm mmm mmm 
000004 //* 

000005 //* RACFICE - Create reports from RACF database unload utility 
000006 //* (IRRDBUO00O) and RACE SME unload utility (IRRADUOO) 
000007 //* 

000008 //* 

000009 //* RACF Database Reports 

000010 //* 

000011 //* Name (Description 

000012 //* ———— mmm mmm mmm mmm mmm 
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000013 
000014 
000015 
000016 
000017 
000018 
000019 
000020 
000021 
000022 
000023 
000024 
000025 
000026 
000027 
000028 
000029 
000030 
000031 
000032 
7 


//* ALDS 
//* 

//* ASsOC 
//* BGGR 
//* 

//* CCON 
//* 

//* CGEN 
//* CPRO 
//* CONN 
//* GIDS 
//* IDSC 
//* 

//* IDSS 
//* 

//* IGRC 
//* 

//* IGRS 
//* 

//* OMVS 
PCAM 


Discrete dataset profiles which have IDson the 
standard access list with ALTER authority 

Users who have explicit associations defined 
Discrete general respource profiles with generic 
characters in their name 

Count of user connections, flagging those with more 
than ÜxÜ connections 

Count of general resource profiles 

Count of profiles 

kullanıcı IDs with group privileges above use 

Shared UNIX System Services GIDs 

Dataset conditional access lists with ID(*#) of other 
than NONE 

Dataset standard access lists with ID(*) of other 
than NONE 

General resource conditional access lists with ID(*#) 
of other than NONE 

General resource standard access lists with ID(*) 

of other than NONE 

kullanıcı IDs which have UNIX System Services (OMVS) 000033 


PROGRAM class specific profiles with MAIN or BASIC 000034 //* 


with MAIN or BASIC APPLDATA 


000035 
000036 
000037 
000038 
000039 
000040 
000041 
TE ei 

000043 
000044 
000045 
000046 
000047 
000048 
000050 
000051 
000052 


li 
ZAN 
//* 
//# 
ZA» 
//* 
//* 
WNDS 
iy 
//* 
ZA» 
İY 
//* 
yg 
iyi 
Yi 
ii 


SUPU 
UGLB 
UGRP 
UIDS 
URVK 
UADS 
UAGR 


UNIX System Services super users (UID of Zero) 

kullanıcı IDs With extraordinary system-level 

kullanıcı IDs with extraordinary RACF group 

Shared UNIX System Services UIDs 

kullanıcı IDs which are currentiy revoked 

Dataset profiles with UACCs of other than NONE 

General resource profiles with UACCs of other than 000042 


Dataset profiles in WARNING mode 


WNGR 


General resource profiles in WARNING mode 


RACF Audit Reports 


Name 
ACDİ 
CADU 
CCMD 


Description 
Users who are using automatic command direction 
Count of IRRADUO0O events 


Count of commands issued (by user) 
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000053 
000054 
000055 
000056 
000057 
000058 
000059 
000060 
000061 
000062 
000063 
000064 
000065 
000066 
000067 
000068 
000069 
000070 
000071 
000072 
000073 
//ALDS 
000076 
000077 
000078 
000079 
000080 
000081 
000082 
000083 
000084 
000085 
000086 
000087 
000088 
000089 
000090 
000091 
000092 
000093 


Je 
yi 
4» 
//* 
di 
İş 
//* 
di 
iy 
şi 
//* 
İY 
//* 
/4* 


Users who are directing commands explicitly 


Users who log on with LOGON BY 


All users with excessive incorrect passwords 


Accesses allowed because the user has OPERATIONS 


authority 


Users who are using password synchronization 


RACLINK audit records 


RACE class initialization records 


All audit records for a specific user 


Events that succeeded because the user has SPECTAL 


authority 


Excessive incorrect passwords from terminals 


Access violations 


Accesses allowed due to WARNING mode profiles 


//————————————————————————————————————————————————————————————————— 
JCLLIB ORDER—USER0O1.RACFICE.CNTL 


// 


SET ADUDATA-USERO1.RACFICE.IRRADUOO Ki IRRADUOO data 
SET DBUDATA-USERO1.RACFICE.IRRDBUOO0 IRRDBUOO data 
SET ICECNTL-USERO1.RACFICE.CNTL ICETOOL data 
707 5 
IRRDBU00-Based Reports ——-———————————-———-——-——--——------- 000075 


EXEC RACFICE, REPORT—ALDS 


//ASsoc 
//BGGR 
//CCON 
//CGEN 
//CPRO 
//CONN 
//GRPM 
//cuGİ 
//61IDS 
//1DSC 
//1DSS 
//1GRC 
//1GRS 
//NPWI 
//0MVS 
/ /PCAM 
//SUBU 
//UADS 


EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 
EXEC 


RACFICE ,REPORT—ASOC 
RACFICE ,REPORT—BGGR 
RACFICE ,REPORT—CCON 
RACFICE ,REPORT—CGEN 
RACFICE ,REPORT—CPRO 
RACFICE ,REPORT—CONN 
RACFICE ,REPORT—GRPM 
RACFICE ,REPORT—-CUGİ 
RACFICE ,REPORT—-GIDS 
RACFICE ,REPORT—IDSC 
RACFICE ,REPORT—-IDSS 
RACFICE ,REPORT—IGRC 
RACFICE ,REPORT—IGRS 
RACFICE ,REPORT—NPWI 
RACFICE ,REPORT—-OMVS 
RACFICE ,REPORT—PCAM 
RACFICE ,REPORT—SUPU 
RACFICE ,REPORT—UADS 
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000094 //UAGR 
000095 //UGLB 
000096 //UGRP 
000097 //U1IDS 
000098 //URVK 
000099 //WNDS 
000100 //WNGR 


RACFICE ,REPORT—UAGR 
RACFICE ,REPORT—UGLB 
RACFICE ,REPORT—UGRP 
RACFICE ,REPORT—UIDS 
RACFICE ,REPORT—URVK 
RACFICE , REPORT—WNDS 
RACFICE ,REPORT—WNGR 


000101 //#--—--——--——— mm m mmm mmm mmm mmm mmm 
000102 //4------- 
000103 //4---—--—--—m— mm m mmm mmm mmm mmm 


000104 //ACDİ 
000105 //CADU 
000106 //CCMD 
000107 //ECDİ 
000108 //LOGB 
000109 //LOGE 
000110 //OPER 
000111 //PWDİ 
000112 //RACL 
000113 //RINC 
000114 //SELU 
000115 //SPEC 
000116 //TRME 
000117 //v1OL 
000118 //WARN 


RACFICE ,REPORT—-ACDİ 
RACFICE ,REPORT—-CADU 
RACFICE ,REPORT—CCMD 
RACFICE ,REPORT-ECDİ 
RACFICE ,REPORT—-LOGB 
RACFICE ,REPORT—LOGF' 
RACFICE ,REPORT—-OPER 
RACFICE ,REPORT—-PWDİ 
RACFICE ,REPORT—RACL 
RACFICE ,REPORT—RINC 
RACFICE ,REPORT—SELU 
RACFICE ,REPORT—SPEC 
RACFICE ,REPORT—TRMF' 
RACFICE ,REPORT—VIOL 
RACFICE ,REPORT—-WARN 


Bu job'da bulunan tüm raporlardan biz SELU raporunu kullanacağımız için sadece yeni bir 


member'a SELU adımını alacağız. Bunun için aşağıdaki işlemi yapacağız: $$CNT$$ 


job'ının içindeyken komut satırına cre USERO21I ve 000001 satırının üzerine c99999 yazıp 


enter'a basarsak, $$CNT$$ member'ı USEROZ! isimli yeni member'a kopyalanmış olur. 


Command ——-> cre US! 


c99999 //USI 
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ERO1T 


EDIT KAYHAN .RACFICE.CNTL(İİCNTLİİ) - 01.00 
ERO21 


Columns 00001 00072 


Scroll ——-> CSR 


JOB MSGLEVEL-(0,0) ,CLASS-5,NOTIFY-&SYSUID, MSGCLASS-H 
000002 /*JOBPARM S-ANY,LINES-99 
000003 //#-----------———- m mmm 
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USEROZ21 member'ına girip job adını USERO1I'dan USERO2!'ya değiştireceğiz ve EXEC 
RACFICE,REPORTZ adımlarını içeren tüm adımları SELU hariç sileceğiz. Raporumuzu 
üretecek JCL aşağıdaki gibi olacaktır: Job statement'ındaki CLASS ve MSGCLASS 
parametreleri kuruluşa uygun olarak değiştirilmelidir: 


KKKA KAKA kA KKKA kkk kkAkk*Xk Top of Data *KAAAAAKAAKAKAkKAKAAAAKAAAKKAKX 


000001 //USERO21I JOB MSGLEVEL-(0,0),CLASS-A, NOTIFY—-&SYSUID, MSGCLASS—X 
000002 /*#JOBPARM S-ANY,LINES-99 

000003 //4——————-——————-—-— e e 
000004 // JCLLIB ORDER-USERO1 .RACFICE.CNTL 

000005 // SET ADUDATA-USERO1 .RACFICE .IRRADUOO IRRADUOO data 
000006 // SET DBUDATA-USERO1.RACFICE.IRRDBUOO IRRDRBUOO0 data 
000007 // SET ICECNTL-USERO1 .RACFICE.CNTL ICETOOL data 
000008 //SELU EXEC RACFICE, REPORT—SELU 

KARAKAKAKKAKKAKAAKAAKAAKAKKAKK Bottom Of Data ##KAAKAKKAKAAKAKKAKKAKKAKAK 


Son olarak JCL'de JCLLIB, ADUDATA, DBUDATA ve ICECNTL dataset'leri de kuruluşa 
uygun olarak değiştirildiğinde: 

JCLLIB ORDER-KAYHAN.RACFICE.CNTL 

ADUDATA—KAYHAN .RACFICE.IRRADUOO 


DBUDATA-KAYHAN .RACFICE.IRRDBUO0O 


ICECNTL-KAYHAN .RACFICE.CNTL 
JCL şu hali alır: 


//USERO2I JOB MSGLEVEL-(0,0) ,CLASS—A,NOTIFY—&SYSUJID ,MSGCLASS—X 
/*JOBPARM S—ANY,LINES—99 


//4 m ça çü pi m e e e a im a ll b an aç m gl öl b a em am 
// JCLLIB ORDER-KAYHAN .RACFICE .CNTL 

// SET ADUDATA-KAYHAN .RACFICE .IRRADUOO IRRADUOO data 
// SET DBUDATA-KAYHAN .RACFICE.IRRDBUO0O0 IRRDBUOO data 
// SET ICECNTL-KAYHAN .RACFICE.CNTL ICETOOL data 
//SELU EXEC RACFICE ,REPORT—SELU 


KAKA kkk kkkkkkkkkkk Bottom of Data ##XAAAAkAkAAAAAAAAkAkkAkAkkkk 
Bu job'ı submit etmeden önce IRRADUO0O ve IRRDBUOMO dataset'lerini oluşturan işleri 


tekrar çalıştırmak kayıtların güncel olması açısından önerilir. 
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Bu job çalıştırıldıktan sonra elde edilen raporun görüntüsü aşağıdaki gibidir: 


1- 1 -SELU: FUNDA, Meryemgve SERAPO'nun erişimleri 14/06/19 


kullanıcı ID Group Event Result Time 
Jobname 
FUNDA HEALTH JOBINIT INVPSWD 12:15:53 
FUNDA HEALTH JOBINIT INVPSWD 12:15:56 
FUNDA HEALTH JOBINIT PWDEXPR 12:16:32 
FUNDA HEALTH JOBINIT RACINITI 12:16:39 
FUNDA HEALTH ACCESS INSAUTH 12:27:13 
MERYEMG KESENGR1 JOBINIT PWDEXPR 12:31:55 
MERYEMG KESENGR1 JOBINIT RACINITI 12:32:00 
MERYEMG KESENGR1 ACCESS INSAUTH 12:32:20 
MERYEMG KESENGR1 ACCESS INSAUTH 13:42:53 
MERYEMG KESENGR1 ACCESS INSAUTH 13:43:05 
MERYEMG KESENGR1 DEFINE INSAUTH 13:45:44 
SERAPO HASENEGRI JOBINIT INVPSWD 12:29:24 
SERAPO HASENEGRI JOBINIT PWDEXPR 12:30:04 
SERAPO HASENEGRI JOBINIT RACINITI 12:30:10 
SERAPO HASENEGRI ACCESS INSAUTH 12:30:45 
SERAPO HASENEGRI ACCESS INSAUTH 12:30:47 
SERAPO HASENEGRI ACCESS INSAUTH 12:30:59 
Kullanıcı 
ID Group Event Result Time 
SERAPO HASENEGRI ACCESS INSAUTH 12:31:00 
SERAPO HASENEGRI ACCESS INSAUTH 12:31:14 
SERAPO HASENEGRI ACCESS INSAUTH 12:31:38 
SERAPO HASENEGRI ACCESS INSAUTH 13:49:03 
FUNDA HEALTH ACCESS INSAUTH 14:09:24 
FUNDA HEALTH DEFINE INSAUTH 14:10:16 
FUNDA HEALTH DEFINE INSAUTH 14:10:26 
MERYEMG KESENGR1 ACCESS INSAUTH 14:09:09 
MERYEMG KESENGR1 DEFINE INSAUTH 14:12:57 
MERYEMG KESENGR1 DEFINE INSAUTH 14:13:05 
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Date 


2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 


2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 
2014-06-19 


02:24:21 pm 


System Terminal 
VBT TCP00050 
VBT TCP00050 
VBT TCP00050 
VBT TCP00050 
VBT TCP00050 
VBT TCP00051 
VBT TCPO00051 
VBT TCP00051 MERYEMG 
VBT TCP00050 MERYEMG 
VBT TCP00050 MERYEMG 
VBT IEFBR14 
VBT TCP00051 
VBT TCPO00051 
VBT TCP00051 
VBT TCP00051 SERAPO 
VBT TCP00051 SERAPO 
VBT TCP00051 SERAPO 
System Terminal Jobname 
VBT TCP00051 SERAPO 
VBT TCP00051 SERAPO 
VBT TCP00051 SERAPO 
VBT TCP00050 SERAPO 
VBT TCP00053 FUNDA 
VBT IEFBR14 
VBT IEFBR14 
VBT TCP00054 MERYEMG 
VBT IEFBR14 
VBT 


Aynı yöntemle üretilmiş bir başka rapor örneği çıktısı Rapor Adı:CGEN 


1- 1 CGEN: Number of General Resource Profiles 14/06/19 02:37:42 pm 


Class Count 
ACCTNUM 2 
ACICSPCT 1 
APPL 4 
CBIND 2 
CCICSCMD 1 
CDT 2 
CONSOLE 1 
CSFSERV 6 
DCICSDCT 1 
DIGTCERT 35 
DIGTRING 9 
DSNR 24 
EJBROLE 12 
FACILITY 85 
FCICSECT 1 
GCICSTRN 79 
GLOBAL 1 
GXFEMERGI 1 
JCICSICT 1 
JESSPOOL 8 
LOGSTRM 6 
MCICSPPT 1 
OMEGAMON 5 
OPERCMDS 19 
PCICSPSB 1 
PRINTSRV 1 
PROGRAM 12 
PTKTDATA 1 
SCICSTST 1 
SDSF 4 
SECLABEL 4 
SERVAUTH 10 
SERVER 4 
STARTED 234 
SURROGAT 15 
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TAPEVOL 16666 


TCICSTRN 24 
TSOAUTH 3 
TSOPROC 2 
UNIXMAP 50 
UNIXPRIV 2 
VMMDISK 22 
WBEM 1 
WRITER 1 


Aynı yöntemle üretilmiş bir başka rapor örneği çıktısı Rapor Adı:CONN 


lwl. CONN: kullanıcı IDs With Group Privileges Above Use 14/06/19 02:43:49 pm 
kullanıcı ID Group Name Authority 

IBMUSER AOP JOIN 

CMUSER AOP JOIN 


ACCOUNTI BRUKSELGRI1 CONNECT 
ACCOUNT2 BRUKSELGR2 CONNECT 


AOPADMI AOPADMIN JOTIN 
AOPOPRI AOPOPER JOTIN 
IBMUSER APK JOTIN 
IBMUSER ASM JOTIN 
CMUSER ASM JOTIN 
IBMUSER ASU JOTIN 
IBMUSER BBN JOTIN 
CMUSER BBN JOTIN 
IBMUSER BDTI JOTIN 
CMUSER BDTI JOTIN 
IBMUSER BES JOTIN 
IBMUSER BPA JOTIN 
CMUSER BPA JOTIN 
IBMUSER CBC JOTIN 
Kullanıcı 
ID Group Name Authority 
CMUSER CBC JOTIN 
IBMUSER CDS JOTIN 
CMUSER CDS JOTIN 
IBMUSER CEE JOTIN 
CMUSER CEE JOTIN 
IBMUSER CFZ JOTIN 
CMUSER CFZ JOTIN 
IBMUSER CICSTS42 JOTIN 
IBMUSER CIM JOTIN 
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Kullanıcı 


ID Group Name Authority 
IBMUSER CMX JOIN 
CMUSER CMX JOIN 
IBMUSER CPAC JOIN 
CMUSER CPAC JOIN 
IBMUSER CPO JOIN 
IBMUSER CSE JOIN 
CMUSER CSE JOIN 
DFS DFSGRP CREATE 
ZES DFSGRP CREATE 
IBMUSER DIT JOIN 
CMUSER DIT JOIN 
IBMUSER DSN101 JOIN 
IBMUSER DSN710 JOIN 
IBMUSER DSN810 JOIN 
IBMUSER D390OSSA JOIN 
IBMUSER D390SS1 JOIN 
IBMUSER D390SS2 JOIN 
IBMUSER ECN JOIN 


GENDIRECT BRUKSELGR6 CONNECT 


MAHINUR ACCTCICS CONNECT 
IBMUSER EOX JOIN 
CMUSER EOX JOIN 
IBMUSER EOY JOIN 
CMUSER EOY JOIN 
IBMUSER EPH JOIN 
CMUSER EPH JOIN 

I- 2< CONN: kullanıcı IDs With Group Privileges Above Use 14/06/19 02:43:49 pm 
kullanıcı ID Group Name Authority 
IBMUSER EÇAW JOIN 
IBMUSER EUV JOIN 
CMUSER EUV JOIN 
IBMUSER EUVF JOIN 
CMUSER EÜVF JOIN 
IBMUSER EWX JOIN 
IBMUSER FEST JOIN 
CMUSER FEST JOIN 

IBMUSER GDDM . JOIN 
CMUSER GDDM JOIN 
CICSMNG GENGR CONNECT 
ACCOUNT8 GENGR CONNECT 
IBMUSER GIM JOIN 
CMUSER GIM JOIN 
IBMUSER GLD JOIN 
CMUSER GLD JOIN 
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Kullanıcı 


ID Group Name Authority 
IBMUSER GSK JOIN 
CMUSER GSK JOIN 
IBMUSER HAP JOIN 
CMUSER HAP JOIN 
IBMUSER HCM JOIN 
IBMUSER IBMZ JOIN 
CMUSER IBMZ JOIN 
IBMUSER ICA JOIN 
IBMUSER ICO JOIN 
CMUSER ICO JOIN 
IBMUSER ILM JOIN 
IBMUSER IMO JOIN 
IBMUSER IMW JOIN 
CMUSER IMW JOIN 
IBMUSER ING JOIN 
IBMUSER IOA JOIN 
CMUSER IOA JOIN 
IBMUSER TOE JOIN 
CMUSER IOE JOIN 
IBMUSER ISF JOIN 
CMUSER ISF JOIN 
IBMUSER ISP JOIN 
CMUSER ISP JOIN 
IBMUSER IXM JOIN 
CMUSER IXM JOIN 
IBMUSER IZU JOIN 
CMUSER IZU JOIN 
IBMUSER JAVA JOIN 
CMUSER JAVA JOIN 
IBMUSER MSOPS JOIN 
ACCOUNT8 ACCTGR CONNECT 
IBMUSER NETVTIEW JOIN 
IBMUSER OMVS JOIN 
CMUSER OMVS JOIN 
IBMUSER PAGE JOIN 
CMUSER PAGE JOIN 
IBMUSER REXX JOIN 
CMUSER REXX JOIN 
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is 5. CONN: kullanıcı IDs With Group Privileges Above Use 14/06/19 02:43:49 pm 


Kullanıcı 

ID Group Name Authority 
IBMUSER SEZOS10 JOIN 
IBMUSER SEZOS12 JOIN 
CMUSER SEZOS12 JOIN 
IBMUSER SEZOS13 JOIN 
IBMUSER SMPE JOIN 
CMUSER SMPE JOIN 
IBMUSER SOMMVS JOIN 
CMUSER sysı JOIN 
IBMUSER TICPIVP JOIN 
CMUSER TCPIVP JOIN 
IBMUSER TIVOLI JOIN 
IBMUSER TZOSSSA JOIN 
IBMUSER TZOSU1 JOIN 
ZES ZEFSGRP CREATE 


Bir başka örnek Rapor Adı:CPRO 


- 1 - CPRO: Number of Profiles in the RACF Database 14/06/19 
Type Count 
Dataset Profiles 204 
General Resource Profiles 17386 
Group Profiles 212 
User Profiles 3828 


Bir başka örnek “Hangi gruba, hangi kullanıcılar bağlı” Rapor Adı:GRPM 


1-1 - GRPM: Members of the SYSI Group 14/06/19 02:51:47 pm 
kullanıcı ID Connection Owner Special Oper Oo Auditor Revoked Oo Revoke Date Resume Date 
DB2ADM SsYys1 NO NO NO NO 
DB2OPR Ssys1 NO NO NO NO 
KAREN SsyYs1 NO NO NO NO 
IBMUSER IBMUSER NO NO NO NO 
TUBA SYys1ı NO NO NO NO 
SYSADM SYsı NO NO NO NO 
SYSOPER SYsı NO NO NO NO 
UNIV SYSADM NO NO NO NO 
KAMAL SYSADM NO NO NO NO 
KISMATIL Ssysı NO NO NO NO 
USDRDA IBMUSER NO NO NO NO 
EMERG1 SYsı NO NO NO NO 
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EMERG2 SYsı NO NO NO NO 


EMERG3 SsYsı NO NO NO NO 
ARCHLOGI SYSADM NO NO NO NO 
ARCHLOG2 SYSADM NO NO NO NO 
BACKUP SYSADM NO NO NO NO 
MEDYEN SYSADM NO NO NO NO 
SMFCLEAR SECEH NO NO NO NO 
SMFSAV SECEH NO NO NO NO 
LOGSAV SECEH NO NO NO NO 
SMFSAVT SECEH NO NO NO NO 
LUTLU Ssys1ı NO NO NO NO 
CICSUSER SAMUEL NO NO NO NO 
EXPECTC SYSADM YES YES YES NO 
ALPUCINP ISMATL NO NO NO NO 
ALPUCINN SYSADM NO NO NO NO 
ALPUCINM SYSADM NO NO NO NO 
ALPUCINL SYSADM NO NO NO NO 
ALPUCINK SYSADM NO NO NO NO 
ALPUCINI SYSADM NO NO NO NO 
ALPUCINI SYSADM NO NO NO NO 
ALPUCINH SYSADM NO NO NO NO 
ALPUCING SYSADM NO NO NO NO 
ALPUCINE SYSADM NO NO NO NO 
ALPUCINE SYSADM NO NO NO NO 
ALPUCIND SYSADM NO NO NO NO 
ALPUCINC SYSADM NO NO NO NO 
ALPUCINB SYSADM NO NO NO NO 
ALPUCINA SYSADM NO NO NO NO 
ALPUCIN5 SYSADM NO NO NO NO 
ALPUCIN6 SYSADM NO NO NO NO 
ALPUCIN7 SYSADM NO NO NO NO 
ALPUCIN8 SYSADM NO NO NO NO 
ALPUCIN9 SYSADM NO NO NO NO 
ALPUCINO SYSADM NO NO NO NO 
ALPUCINI SYSADM NO NO NO NO 
ALPUCIN2 SYSADM NO NO NO NO 
ALPUCIN3 SYSADM NO NO NO NO 
ALPUCINA SYSADM NO NO NO NO 
ISMET Ssys1ı NO NO NO NO 
1-2 - GRPM: Members of the SYSI Group 14/06/19 02:51:47 pm 
kullanıcı ID Connection Owner Special Oper Oo Auditor Revoked Ooo Revoke Date Resume Date 
EXPECT IBMUSER NO NO NO NO 
TCPIPROC SYs1ı NO NO NO NO 
BAGEM IBMUSER NO NO NO NO 
ROSEMAR SYSADM NO NO NO NO 
TSO1L SYsı NO NO NO NO 
TSO2 SsYsı NO NO NO NO 
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TSO3 
TSO4 
RETUSER 
RETUSE2 
FUNDAG 
KESKIN 
FUNDAGI 
YDOWNR 
DRDAGW 
SEMUDLU 
KARUNFA 
GPMSERVE 
IMWEBSRV 
ICMCRTOR 
ICMADM 
ICMCRIR 
SEMIRA 
DBGURU 
TSSO 
AOPSS 
GSS 
AYLAHNM 
BURUC 
MEDYEN 
ENROLLC 
YETKIVBT 
YIKVBT 
APSWPROC 
AXRUSER 
BPXOINIT 
CEA 
IEEVMPCR 
IRRDPTAB 
RACF 
SDSE 
SME'DUMP 
VLE 
TRUNKAY 
DASUSER 
OMEGDB2 
DB2PM 
OMEGUSER 
KAYHAN 
TSO5 
CMUSER 
WASINST 
ISTRONGER 


1-3 - 
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SYsı 
SYsı 
SYsı 
SsYsı 
FUNDAG 
sysı 
FUNDAG 
EXPECT 
EXPECT 
SsYsı 
IBMUSER 
IBMUSER 
IBMUSER 
SYSADM 
SYSADM 
IBMUSER 
EXPECT 
EXPECT 
IBMUSER 
IBMUSER 
EXPECT 
EXPECT 
EXPECT 
EXPECT 
IBMUSER 
EXPECT 
EXPECT 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
EXPECT 
SYSADM 
IBMUSER 
IBMUSER 
IBMUSER 
EXPECT 
IBMUSER 
IBMUSER 
IBMUSER 
TRUNKAY 


GRPM: Members of the SYSI Group 


NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 


NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 


NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
NO NO 
14/06/19 
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02:51:47 pm 


kullanıcı 
BIROL 
STRONGER 
HIS 
CPCCUSR 
DENEME 
USERID 


ID Connection Owner 
EXPECT NO 
EXPECT NO 
IBMUSER NO 
IBMUSER NO 
EXPECT NO 
EXPECT NO 


Special 


NO 
NO 
NO 
NO 
NO 
NO 


Oper Auditor Revoked Oo Revoke Date Resume Date 


Önemli bir rapor örneği extra yetkili kullanıcılar listesi Rapor Adı: UGLB 


1-1 - 


kullanıcı 


ALPUCINO 
ALPUCINI 
ALPUCIN2 
ALPUCIN3 
ALPUCINA 
ALPUCINB 
ALPUCINA 
ALPUCIN5 
ALPUCIN6 
ALPUCIN7 
ALPUCIN8 
ALPUCIN9 
CEA 
CICSUSER 
CMUSER 
DBGURU 
DB2ADM 
DB2OPR 
DB2PM 
BRUKSEL 
BRUKSELİ 
BRUKSEL5 
EMCICS 
ERDEK 
EROLL 
HASENE 
FUNDAG 
GONULB 
HULYAA 
IBMUSER 


UGLB: Users with Extraordinary Authorities 


ID User Name 


ECE HIRAM ABBAS 


EMERG1 

EMERG2 

EMERG3 

ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 
ROMA YEREL 


YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 
YONETIMI 


6666666666666666666Ö 


CICSUSER 


CM STC USER 


DBGURU 
DB2ADM 
DB2OPR 


OMEGAMON V4.2 


BRUKSEL GURUBU 


BRUKSELI 
BRUKSELS5 
EMCICS 
SEMUDLU 


MUH 


LUTLU BIM 


HASENE 


LUTLU MEARIC 


GONUL BRUKSELLI 


HÜLYA LUTLU BIM 


IBMUSER 
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YES 
YES 
YES 
YES 
YES 
YES 
YES 
YES 
YES 
YES 
YES 
YES 


Speci 


14/06/19 03:00:32 pm 


al Operations Auditor 


YES 
YES 
YES 
YES 
YES 
YES 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
NO 
YES 
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YES 


IREM IREM YES NO 
ISMET ISMET YES YES 
KAYHAN KAYHAN VIZYON YES NO 
LOGSAV LOGREC NO YES 
MEDYEN MEDYEN YES YES 
ACCT ACCOUNTING TSO YES NO 
MUNEN LEYLIM LEY YES NO 
MUSTAFA BRUKSELLI NACIIM YES NO 
OMEGDB2 OMEGAMON V4.2 YES YES 
OMEGUSER OMEGAMON V4.2 YES YES 
is 2 » UGLB: Users with Extraordinary Authorities 
kullanıcı ID User Name Special 
ŞIKAGO ŞIKAGO YES NO 
RMMUSER RMMUSER NO YES 
RMMUSE2 RMMUSE2 NO YES 
HEALTHS2 HEALTH SERV2 YES NO 
HEALTHS5 HEALTH SERV5 YES NO 
KESKIN KESKIN ANKARECE NO YES 
SMFCLEAR SMF TEMIZLIĞI NO YES 
SMFSAVT SMF DUMP NO YES 
ROSEMAR ROSEMAR CICEKLI YES YES 
STCADMIN STCADMIN NO YES 
SYSADM SYSADM YES YES 
SYSOPER SYSOPER YES YES 
TSO1 TSOl YES YES 
TSO2 TSO2 YES YES 
TSO3 TSO3 YES YES 
TSO4 TSO4 YES YES 
TSO5 66Ö6Ö6666666666666ÖÖĞ Oo YES YES 
TSSO TSSO YES YES 
TRUNKAY TRUNKAY YES NO 
TUNCER NEWJERSEYLI BIM YES NO 
EXPECT GREAT EXPECT YES YES 
WASINST WASINST YES YES 
ZOSMFAD 666666666666666666ÖĞÖ Oo YES YES 


14/06/19 


Operations Auditor 


YES 


YES 
YES 
YES 
YES 
YES 
NO 
NO 
NO 
YES 
NO 
NO 


Şu anda revoke olmuş kullanıcılar listesi Rapor Adı : URVK 


-ı1- URVK: kullanıcı IDs Which are Currentliy Revoked 14/06/19 


irrcerta CERTAUTH Anchor 
irrmulti Criteria Anchor 


irrsitec SITE Anchor 


OPER1 OPERATORLER 
SERIF SERIF GUNGOREN 
TUNCAYB TUNCAY BOLAT 
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03:00:32 pm 


Belirli bir kullanıcınn hangi Genel Kaynak'lara yetkisi var: GRYT 


//TUMYETKI JOB (VBT) ,KAYHAN,CLASS-A ,MSGCLASS-X,MSGLEVEL-(1,1), 


/ NOTIF'Y—-&SYSUID 

/ SET ADUDATA-SERDKTI.RACF. IRRADUOO 

/ SET DBUDATA-SERDKTI.RACF. IRRDBUOO 

/ SET ICECNTL-SYS2 .RACFICE.CNTL 

//* a a gl a Ga e a nn ml mi 
/44----——— GR AUTHORIZATIONS OF A SPECIFIC USER -—---——--—--------—---—- 
//* EN a a e e Gİ e öle e e a a en e GÜ em e e öl el Gü 
//CPYR EXEC RACFICED , REPORT-GRYT 


//RACFICE .RACECNTL DD * 
SORT FIELDS-(257,8,CH,A,10,247,CH,A) 
INCLUDE COND-(5,4,CH,EO,C'0505',AND, 
266,8,CH,EO,C'SERDKTI') 
OPTION VLSHRT 
/* 


Raporun çıktısı: SERDKT1'in hangi Class'lardaki profillere ne yetkisi var. 


Sl-E GRYT: GR AUTHORIZATIONS OF A SPECIFIC USER 19/05/03 04:15:07 pm 
CLASS PROFILE NAME USER ACCESS 

ACCTNUM ACCTNUM SERDKTI READ 

CSFSERV CSFIÇA SERDKTI READ 

TSOAUTH JCL SERDKTI READ 

TSOAUTH RECOVER SERDKTI READ 

TSOPROC IKJACCNT SERDKTI READ 

UNIXPRIV SHARED .IDS SERDKTI READ 


Örnek IBMUSER'in hangi CLASS'lardaki profillere ne yetkisi var. 


> Z GRYT: GR AUTHORIZATIONS OF A SPECIFIC USER 19/05/03 04:20:33 pm 
CLASS PROFILE NAME USER ACCESS 
ACICSPCT > IBMUSER ALTER 
CCICSCMD ii IBMUSER ALTER 
CPSMOBJ BAS.** IBMUSER ALTER 
CPSMOBJ BAS.DEF.** IBMUSER ALTER 
CPSMOBJ BAS.DEF.TSTPLX IBMUSER ALTER 
CPSMOBJ OPERATE.DEF.** IBMUSER ALTER 
CPSMOBJ OPERATE .PROGRAM.** IBMUSER ALTER 
CPSMOBJ OPERATE.TER.** IBMUSER ALTER 
CPSMOBJ OPERATE .TERMINAL.TSTPLX.CICSTALI IBMUSER ALTER 
CSFSERV CSFCMK IBMUSER UPDATE 
CSFSERV CSFIÇA IBMUSER READ 
CSFSERV CSFOWH IBMUSER UPDATE 
CSFSERV CSFPMCI IBMUSER UPDATE 
CSFSERV CSFREFR IBMUSER UPDATE 
CSFSERV CSFSMK IBMUSER UPDATE 
DCICSDCT EL IBMUSER ALTER 
DIGTRING WEBSRV.SERVA IBMUSER ALTER 
FACILITY AOPADMIN IBMUSER ALTER 
FACILITY BPX.DAEMON IBMUSER READ 
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FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
e 


FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 


BPX. 
BPX. 
BPX. 
BPX. 
BPX. 
DITTO. 
DITTO. 
DITTO. 
DITTO. 
DITTO. 


FILEATTR.APF 


FILEATTR. PROGCTL 


FILEATTR. SHARELIB 


SERVER 
SME 


DISK.FULLPACK 
DISK.INPUT 
DISK.UPDATE 
OAM.OUTPUT 
OAM.UPDATE 


DITTO.TAPE.BLP 


DITTO.TAPE.DUPLICATE 


DITTO.TAPE.INPUT 


DITTO.TAPE.MOUNT 


DITTO.TAPE.OUTPUT 


DITTO.TAPE.UPDATE 


GIM. 
GIM. 
IBI. 
IBI. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 
IRR. 

GRYT: GR AUTHORIZATIONS OF A SPECIFIC USER 


CMD.* 
PGM.* 


CONSOLE . LOGON 


CONSOLE . OPERATOR 


DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 
DIGTCERT. 


PROFILE NAME 


ADD 
ADDRING 
ALTER 
ALTMAP 
CHECKCERT 
CONNECT 
DELETE 
DELMAP 
DELRING 
EXPORT 
EXPORTKEY 
GENCERT 
GENREÇ 
LIST 
LISTMAP 


IRR.DIGTCERT.LISTRING 


IRR.DIGTCERT.MAP 


IRR.DIGTCERT . REMOVE 


IRRDPI00 


MVSADMIN. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
OCBTRACE. 
STGADMIN. 


IDC. 


LOGR 

AUTH.DATASPACE 
AUTH.ESCON 
AUTH.ESTOREVARY 
AUTH.EXTENDED .MCS.CONSOLE 
AUTH.MASTER.MCS.CONSOLE 
AUTH.MEMTERM 
AUTH.NOFETCH. PROTECT 
AUTH.OPERPARM.ÇCB 
AUTH.PPT 

AUTH.PRIVIO 
AUTH.PROCESSOR 
AUTH.PROC3090 
AUTH.REMOTE.ÇO.INITIECEZE 
AUTH.RESET.WRITE .INHIBIT 
AUTH.SETCACHE 
AUTH.TERMID 

AUTH.TESTI 

AUTH.TEST2 

AUTH.TSBPSWD 
AUTH.VTAM.ACCESS 
AUTH.V3090 

AUTH.XMFETCH 


BINDDATA 
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IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 


19/05/03 


IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
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READ 
READ 
READ 
UPDATE 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
READ 
READ 
ALTER 
ALTER 
READ 
READ 
READ 
UPDATE 
CONTROL 
UPDATE 
CONTROL 
UPDATE 
UPDATE 
CONTROL 
CONTROL 
CONTROL 
CONTROL 
READ 
UPDATE 
04:20:33 pm 


ACCESS 
UPDATE 
UPDATE 
CONTROL 
READ 
UPDATE 
READ 
READ 
READ 
READ 
READ 
READ 
READ 
READ 


FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FACILITY 
FCICSFCT 
FIELD 
FIELD 
FIELD 
JCICSICT 
JESSPOOL 
JESSPOOL 
LOGSTRM 
LOGSTRM 
LOGSTRM 
LOGSTRM 
LOGSTRM 
LOGSTRM 
MCICSPPT 
OPERCMDS 
OPERCMDS 
OPERCMDS 
OPERCMDS 
OPERCMDS 
Ağ, 


OPERCMDS 
PCICSPSB 
SCICSTST 
SDSF 
SDSF 
SDSF 
SDSF 
STARTED 
STARTED 
STARTED 
STARTED 
STARTED 
STARTED 
STARTED 
STARTED 
STARTED 
STARTED 
SURROGAT 
SURROGAT 
SURROGAT 
SURROGAT 
SURROGAT 
TCICSTRN 
TCICSTRN 
TCICSTRN 
TCICSTRN 
TSOAUTH 
TSOAUTH 
UNIXPRIV 
UNIXPRIV 
XFACILIT 


STGADMIN. 
STGADMIN. 
STGADMIN. 
STGADMIN. 
STGADMIN. 
STGADMIN. 
STGADMIN. 


* 


IDC. 
IDC. 
IDC. 
IDC. 
IDC. 
IDC. 
IDC. 


LISTDATA 
LISTDATA.ACCESSCODE 
SETCACHE 

SETCACHE .DISCARDPINNED 
SETCACHE .PENDINFOFF 
SETCACHE .REINITIECEZE 
SETCACHE .SUBSYSTEM 


USER. OMVS .HOME 


USER. OMVS . PROGRAM 


USER. OMVS .UID 


* 


*.*.&IKBJ1*.** 


** 


ILMS.AT.MODEL 


ILMS.GE.MODEL 


IXGLOGR.ILM.GENEVENT 


IXGLOGR.ILM.PUBO00000 


SYSPLEX.LOGREC.ALLRECS 


SYSPLEX.OPERLOG 


* 


** 


MVS.DISPLAY.LOGREC 


MVS.DISPLAY.PROG 


MVS.DISPLAY.SSI 


MVS.DISPLAY.SYMBOLS 


GRYT: GR AUTHORIZATIONS OF A SPECIFIC USER 


MVS.DISPLAY.XCF 


* 


* 


ISFATTR.SELECT.* 


ISFCMD.DSP.** 


ISFCMD.FILTER.* 


ISFCMD.ODSP.* 


** 
CICSD*.* 
CICST*.* 
DOMIN*.* 
IMT*.* 

IMTORDR. 
IXT*.* 

OMVS.* 

WEBFOCPC 
WEBFOC43 


* 


,* 


.* 


BPX.SRV. INTERNAL 


BPX.SRV.PRIVATE 


BPX.SRV.PUBLIC 


BPX.SRV.WEBADM 


SYSREXX. 
* 

c* 

CEDF 
FILE 
CONSOLE 
PARMLIB 


* 


SHARED .IDS 


SUPERUSER. FILESYS.PFSCTL 
HZS.*.ÇUERY 
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IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
19/05/03 


IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
IBMUSER 
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ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
READ 
READ 
READ 
READ 
04:20:33 pm 


ACCESS 


ALTER 
ALTER 
CONTROL 
ALTER 
READ 
READ 
ALTER 
ALTER 
ALTER 
ALTER 
CONTROL 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
ALTER 
READ 
ALTER 
ALTER 
ALTER 
ALTER 
UPDATE 
ALTER 
READ 


7./ RACF Report Writer (RACFRW) — BIG LIST 


Başarılı bir güvenlik mekanizması, kaynakların kullanılmasını koruyabilen ve güvenlik 
mekanizmasının uygulanmasını değerlendirebilen niteliğe sahip denetçi ve güvenlik 
yöneticisi gerektirir. RACF Report writer sistem ve kaynaklarının kullanımını denetleyen ve 


izleyen geniş yelpazeli raporlar sunmaktadır. 


RACF report writer sistemin kaynaklarını ve kullanımını izlemek için SMF kayıtlarını 
kullanarak çok sayıda rapor üretilmesini sağlar. 
RACF report writer ile : 
&i kullanıcı adı, kullanıcı kimliği, kullanıcı numarası ve tipine göre belirli bir RACF 
korumalı kaynağa yapılan erişim teşebbüslerinden başarılı olan erişimleri ve 


sayılarını ayrıca güvenlik ihlalleri girişimlerinin tiplerini içeren raporları 


& Kullanıcı ve grup aktivite raporları 
& Sistem ve kaynak kullanımlarının özet raporları alınabilir. 
& RACF report writer üç fazdan oluşur: 
& Komut ve alt komut çalıştırma 
& Kayıt seçimi 
& Rapor üretme 
FAZ 1 


& Komut ve alt komut çalıştırma 
İlk faz, komut ve alt komut çalıştırma, kullanıcı RACFRW TSO komutunu ya da toplu iş 
olarak report writer'ı çalıştırdığında başlar. RACFRW komutu terminal monitor programını 
(TMP) çağırır ve komutu yayınlayan kullanıcıyı alt komut moduna yerleştirir. alt komut 
modunda, kullanıcı SELECT, EVENT, LIST, SUMMARY ve END RACF report writer alt 
komutlarını girer. Kısaca, SELECT ve EVENT alt komutları RACF report writer'iın select 
ettiği ve raporları üretmek için kullandığı input kayıtları belirtir. Daha sonra LIST alt komutu 
kullanılarak select edilen her bir SMF kayıdının rapor edilmesi ve SUMMARY alt 
komutuyla da SMF kayıt listesinin özet olarak yayınlanması sağlanır. Bütün gerekli alt 
komutlar girildikten sonra END alt komutu girilir. END, alt komut modunu ve ilk fazı 


sonlandırır. 
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Faz ?2 


& Kayıt seçimi 
İkinci faz, kayıt seçiminde, RACF report writer SELECT ve EVENT alt komutlarında 
kullanıcının belirlediği kriterleri giriş dosyasındaki her bir kayıtla - SMF kayıtları — 
karşılaştırır. RACF report writer sadece RACE ile ilgili SMF kayıtlarını kabul eder. Bu 
kayıtlar (SMF type 20, 30, 80ve 83) ve status kayıtlarıdır (SMF type 81). 


Faz3 
& Rapor Üretimi 


Üçüncü fazda, RACF report writer LIST ve SUMMARY alt komutlarıyla istenilen raporları 
üretir. Eğer RACF ile ilgili genel sistem aktivitesinin raporu alınmak istenirse, RACFRW 


komutunda GENSUM operandı kullanılmalıdır. 


RACF report writer örnekleri 

Örnek 1— Tüm RACF SMF kayıtları için rapor elde etmek 
RACFRW TİTLE('BIG LISTING') GENSUM 

LIST 

END 


Örnek 2—RACF'e tanımsız kullanıcılar tarafından çalıştırılan MVS job'larını gösteren 


rapor. 


RACFRW 

SELECT NOUSER PROCESS 

LIST TITLE('JOB LIST REPORT) SORT(USER) NEWPAGE 
Eğer özet rapor alınmak isteniyorsa; 

SUMMARY RESOURCE TITLE('JOB SUMMARY REPORT) 
END 


Örnek 3— dataset ihlallerini gösteren rapor 
RACFRW TITLE('USERA DATASETS LIST REPORT") 
SELECT VIOLATIONS DATE(89001:89031) 

EVENT ALLSVC CLASS(DATASET) DSOUAL(USERA) 
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EVENT ALLCOMMAND CLASS(DATASET) DSOUAL(USERA) 
LIST SORT(DATE TIME) 


Örnek 4— Job, sistem ve kullanıcı aktivitelerini gösteren rapor 


RACFRW 

SELECT JOB(A B) NOUSER SYSID(308A) 

EVENT ALLSVC CLASS(DATASET) 

EVENT ALLCOMMAND CLASS(DATASET) 

SELECT USER(C D) NOJOB SYSID(308B) 

EVENT ALLSVC CLASS(DATASET) 

EVENT ALLCOMMAND CLASS(DATASET) 

LIST TITLE('SELECTED DATASET ACTIVITY REPORT') SORT(SYSID) 
END 


Örnek 5— Hatalı işlemleri gösteren birden çok raporlar 


(1) RACERW 
(2) SELECT VIOLATIONS 

(3) LIST TITLE('ACCESS VIOLATIONS LIST REPORT') SORT(USER) 

(4) SUMMARY RESOURCE BY(USER) TİTLE ('ACCESS VIOLATIONS 
SUMMARY REPORT) 

(5) SELECT SUCCESSES 

(6) LIST TITLE('ACCESS SUCCESS LIST REPORT") SORT(DATE TIME) 

(7) SUMMARY RESOURCE BY(USER) TITLE('ACCESS SUCCESS SUMMARY 
REPORT”) 

(8) END 
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ICHRSMFI 


Installation 
Replaceable 
Module 


REPORT 
SELECTİON 


/ RACFRW 
SELECT 
EVENT 
LİST REPORT 
SUMMARY WRITER 
END 


COMMAND 

AND ICHRSMFE GENERATION 
SUBCOMMAND 

PROCESSİNG 


; Installation 
Exit 


ICHRSMFI RACF report writer için sort parametreleri, dinamik - allocation parametrelerini 


ve işleme seçeneklerinin varsayılan değerlerini içeren çalıştırılamaz bir modüldür. 


ICHRSMFE RACF report writer'ın kayıt seçme fazında çağırdığı kuruluş çapında etkili bir 


exittir. Bu exit RACF report writer'a aşağıdaki gibi fonksiyonların eklenmesine olanak 


sağlar: 


# RACF report writer'ın işleme aldığı kayıtlara seçenek ilave etme ve / veya seçenek 


çıkarma kriteri (ya da her ikisi) 


# RACF report writer işlemlerindeki kayıtların isimlendirme kurallarını değiştirme 
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RACF 


LOGGING 


SELECTED, 
REFORMATTED 
RACF SMF 
RECORDS 


7.8 RACF report writer nasıl çalışır 


Aşağıdaki RACF denetleme listesi, sistemin aktif log'undan (SYS1.MANx) büyük RACF 
listesi oluşturur. Bu raporu üreten iş iki adımda çalışır, ilk adımda IBM'in IFASMFDP 
programı SMF'in RACF için toplanan SMF kayıtlarını sistem aktif log'undan alır. İkinci 
adımda topladığı RACF verilerini yine IBM'in IKJEFT01 programını kullanarak rapor haline 
getirir. RACF report writer TSO komut satırından da çalıştırılabilir. 


//RACFREPW JOB (VBT), 'KAYHAN-ZOS13',CLASS-A, MSGCLASS—X, MSGLEVEL-(1,1), 


// NOTIF'Y—-&SYSUID, TIME-NOLIMIT, REGION-OM 


İÇ(KİKAKAKAKARKAKAKAKAKAKAKKAKAKAKAKAKAKARKAKAK ARA KAKAKKAKAKkAKAKAKAKKAKK 


ff AKTIF LOGU YUKLE 


İÇ(KKKAKAKAKAR KAKA KAKAKAKKAKAKAKAKAKAKAAKAKAA AA KAKAKKAKAKAAKAKAKAKKAKK 


/ /DUMPP1 EXEC PGMZIFASMFDP 
//SYSPRINT DD SYSOUT-* 


//VSAMIN DD DSN-SYSI.VBT.MANI, DISP-SHR 


//9SAMOUT DD DSN-&&ÇOSAMOUT,DISP-(NEW, PASS, DELETE), 


// SPACEZ(TRK, (25,50) ,RLSE) ,UNIT—SYSALLDA 


//SYSIN DD * 
INDD (VSAMIN, OPTIONS (DUMP) ) 
OUTDD (OSAMOUT, TYPE (030,070,072(3),078,080,83)) 


İÇ(İKİKKKKAKAKAKAKKAKAKKAKAKAKKAKAKAKAKAKAKAKKAKAKAAKAKAKAAKAKAAKAKAKAK 


/4* RAPOR FILE LARINI OLUSTUR 


İÇEKKKKKAKAKAKAKAKAKAKKAKAR KA KAKAKAA KAKA KAKA KAR KAKAKAAKAKAKAAKAKAAKAK 


/* 


//BASARILI EXEC PGMZIKJEFTOL 
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//SYSTSPRT SYSOUT-X* 


//SYSPRINT SYSOUT—* 


UNIT-SYSALLDA, SPACE-(CYL, (50,100)) 


/ /RSMFIN 
//SORTIN 


DSN-&&OSAMOUT,DISP-(OLD, PASS) 


D 
D 
//SORTWKO2 D 
D 
DD UNIT-3390, SPACE-(CYL, (50,100) ) 


7 e e, ep er 


//SYSTSIN DD *,DLMSXX 


RACFRW TITLE('BIG LISTING') GENSUM 


SELECT PROCESS DATE(14134:14134) 
LIST 


END 
XX 


KAKAKKAAAAKAKAKAKAAAAkKKAA4Xk*X* Bottom of Data #KAKAAKAKAKAAAKAKAKAKAAAAKKAK 


Rapor, 26 tane event hakkında ayrıntılı bir listeleme yapar: 


Event 1 JOB INITIATION / TSO LOGON/LOGOFF 
Event 2 RESOURCE ACCESS 

Event 3 ADDVOL/CHGVOL 

Event 4 RENAME RESOURCE 

Event 5 DELETE RESOURCE 

Event 6 DELETE ONE VOLUME OF A MULTIVOLUME RESOURCE 
Event 7 DEFINE RESOURCE 

Event 8 ADDSD COMMAND 

Event 9 ADDGROUP COMMAND 

Event 10 ADDUSER COMMAND 

Event 11 ALTDSD COMMAND 

Event 12 ALTGROUP COMMAND 
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Event 13 ALTUSER COMMAND 


Event 14 CONNECT COMMAND 


ik 


Event 15 DELDSD COMMAND 


Event 16 DELGROUP COMMAND 
Event 17 DELUSER COMMAND 
Event 18 PASSWORD COMMAND 
Event 19 PERMIT COMMAND 
Event 20 RALTER COMMAND 
Event 21 RDEFINE COMMAND 
Event 22 RDELETE COMMAND 
Event 23 REMOVE COMMAND 
Event 24 SETROPTS COMMAND 


Event 25 RVARY COMMAND 


Event 26 APPCLU 


Bu rapor job'ının SYSTSIN dd adımı aşağıdaki şekilde değiştirilirse, kullanıcı ismine göre 
sıralı job listesi raporu alınabilir. 


/ISYSTSIN DD *,DLM-XX 
RACFRW 
SELECT PROCESS DATE(14134:14134) 
SELECT NOUSER PROCESS 
LIST TİTLE('JOB LIST REPORT") SORT(USER) NEW PAGE 
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114.134 16:01:37 


RACF REPORT - LISTING OF PROCESS RECORDS PAGE 
JOB LIST REPORT 
E 
vo 
EU 


*JOB/USER *STEP/ -TERMINAL- NA 
DATE TIME SYSID NAME GROUP ID IWLTL 


014.134 00:01:00 VBT 


014.134 00:01:00 VBT 


014.134 00:01:12 VBT 


014.134 01:01:00 VBT 


014.134 02:01:00 VBT 


014.134 03:01:00 VBT 


014.134 03:28:20 VBT 


014.134 04:01:00 VBT 


014.134 05:01:00 VBT 


014.134 06:01:00 VBT 


014.134 07:01:00 VBT 


014.134 08:00:13 VBT 


014.134 08:01:00 VBT 


014.134 09:01:00 VBT 


014.134 10:01:01 VBT 


014.134 11:01:01 VBT 


014.134 11:42:28 VBT 


114.134 16:01:37 
(0) 
(0) 


STCADMIN STCGROUP 0 1 8 JOBIDX(RDR 14.134 00:01:00),USERDATAZ() 
AUTH&(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID#(RDR 14.134 00:01:00),USERDATAZ() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(SMFCLEAR 14.134 00:01:00),USERDATA-() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID*(RDR 14.134 01:01:00),USERDATAZ() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(RDR 14.134 02:01:00),USERDATAZ() 
AUTH&(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID#(RDR 14.134 03:01:00),USERDATAZ() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID-(BPXAS 14.134 02:58:15),USERDATA-) 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(RDR 14.134 04:01:00),USERDATAZ() 
AUTH&(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(RDR 14.134 05:01:00),USERDATAZ() 
AUTH£(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID#(RDR 14.134 06:01:00),USERDATA-() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID*(RDR 14.134 07:01:00),USERDATAZ() 
AUTH&(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(SMFCLEAR 14.134 08:00:00),USERDATA/) 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(RDR 14.134 08:01:00),USERDATAZ() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID#(RDR 14.134 09:01:00),USERDATAZ() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID*(RDR 14.134 10:01:00),USERDATAZ() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBID(RDR 14.134 11:01:00),USERDATA:() 
AUTHS(NONE),REASONS(NONE) 
STCADMIN STCGROUP 0 1 8 JOBIDX(BPXAS 14.131 05:46:45),USERDATA-() 
AUTH&(NONE),REASONS(NONE) 
RACF REPORT - LISTING OF PROCESS RECORDS PAGE 
JOB LIST REPORT 
E 
va 
EU 


*JOB/USER *STEP/ -TERMINAL- NA 
DATE TIME SYSID NAME GROUP ID IWLTL 
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4 


5 


014.134 11:47:28 VBT STCADMIN STCGROUP 0 1 8 JOBID-(BPXAS 14.134 11:06:03),USERDATA-() 


AUTH&(NONE),REASONS(NONE) 


014.134 12:01:00 VBT STCADMIN STCGROUP 0 1 8 JOBID-(RDR 14.134 12:01:00),USERDATA-() 


AUTHS(NONE),REASONS(NONE) 


014.134 13:01:01 VBT STCADMIN STCGROUP 0 1 8 JOBID-(RDR 14.134 13:01:00),USERDATA-() 


AUTHS(NONE),REASONS(NONE) 


014.134 14:01:01 VBT STCADMIN STCGROUP 0 1 8 JOBID-(RDR 14.134 14:01:00),USERDATA-() 


AUTH&(NONE),REASONS(NONE) 


014.134 15:01:00 VBT STCADMIN STCGROUP 0 1 8 JOBID-(RDR 14.134 15:01:00),USERDATA-() 


AUTHS(NONE),REASONS(NONE) 


014.134 15:33:59 VBT STCADMIN STCGROUP 0 1 8 JOBID-(BPXAS 14.134 15:03:54), USERDATA-() 


AUTHS(NONE),REASONS(NONE) 


014.134 16:01:00 VBT STCADMIN STCGROUP 0 1 8 JOBID-(RDR 14.134 16:01:00),USERDATA-() 


AUTHS(NONE),REASONS(NONE) 


Yine SYSTSIN aşağıdaki şekilde kodlanarak JOB SUMMARY raporu alınabilir 


/ISYSTSIN DD *,DLM-XX 
RACFRW 
SELECT PROCESS DATE(14134:14134) 
SELECT NOUSER PROCESS 
SUMMARY RESOURCE TITLE('JOB SUMMARY REPORT') 
END 
p 


114.134 16:18:57 


PAGE 4 
(0) JOB SUMMARY REPORT 
(0) 
RESOURCE NAME SUCCESS 
READ TOTAL 
OACCUMULATED TOTALS - (0) 0) 
(0) 0) 
PERCENTAGE OF TOTAL ACCESSES - 0 5 0 5 
0 5 


GENERİC PROFILE USED 
ACCUMULATED TOTALS - (0) 
(0) 0) 

PERCENTAGE OF TOTAL ACCESSES - (0) 


de 


0 3 
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RACF REPORT 


WARNING VIOLATION 


de 


SHORT RESOURCE SUMMARY 


ALTER 


CONTROL 


IN T:E NT Ş; <—-- 


UPDATE 


7.9 Veri güvenliğinin izlenmesi (DSMON) 


RACF kaynakları korumamızı sağlar, fakat koruma sadece güvenlik doğru bir şekilde 
planlanıp, kurulduysa işe yarar. Amaçlanan güvenlik mekanizmalarının gerçekte ne derece 
etkili olduğunu doğrulayacak bir yol gerekir. DSMON bu doğrulamanın sağlanmasına 
yardımcı olur. DSMON kuruluşun güvenlik ortamının durumu hakkında ve özellikle de 
RACF'in kontrol ettiği kaynakların durumu hakkında raporlar üreten bir programdır. 
DSMON'un sağladığı raporlarla kuruluşun o andaki sistem güvenlik ortamının durumu ile 


amaçlanan güvenlik ortamının durumu karşılaştırılabilir. 
DSMON programı 


DSMON programı normal olarak RACF aktifken çalışır. DSMON programını çalıştırmak 
için aşağıdakilerden birine sahip olmak gerekir: 
& AUDITOR niteliğine sahip olmalıdır 
& Eğer program korumalı ortamda çalışılıyorsa PROGRAM class'taki DSMON 
kaynağına erişmek için en az EXECUTE ya da READ yetkisine sahip olunmalıdır. 
Eğer program korumalı ortamda çalışılmıyorsa AUDITOR yetkisine sahip 
olunmalıdır. 
Eğer DSMON TSO ortamında çalışırsa diğer programlara erişmek için READ erişim yetkisi 
gerekebilir. 
DSMON programı nasıl çalışır 


DSMON bir APF yetkili toplu iş programı (APF authorized) olarak çalışır. Ayrıca DSMON 
eğer IKJTSO00 doğru düzenlendiyse TSO ortamında da çalışır. DSMON programını 
çağırmak için, aşağıdaki örnek JCL kullanılabilir. SYSIN DD adımları DSMON kontrol 
parametrelerini belirtme imkanı sağlar. Bu örnekte verilen JCL deki küçük harf karakterler 


kullanıma göre değiştirilecek parametrelerdir. 


//RACFDSMN JOB (VBT), 'KAYHAN',CLASS-A, MSGCLASS—X, MSGLEVEL-(1,1), 


// NOTIEF'Y—-&SYSUID, TIME-NOLIMIT, REGION-OM 


//stepname EXEC PGM-ICHDSMO0 
//SYSPRINT DD SYSOUT-A 
//SYSUT2 DD SYSOUT-A 


//SYSIN DD * 
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LINECOUNT 55 


FUNCTION all 


USEROPT USRDSN KAYHAN.PDS.CNTL 
/* 
DSMON kontrol cümleleri 


DSMON raporlamayı kontrol etmeye yarayan üç DSMON kontrol cümlesi vardır: 


e LINECOUNT 
e FUNCTİON 
e USEROPT 


DSMON kontrol cümlelerinin girilmesi 

DSMON kontrol cümleleri herhangi bir sırada, 1. ve 72. kolonlar arasında olmak koşuluyla 
tek bir satırda girilebilir. Büyük, küçük harf kullanılabilir. Her bir DSMON cümlesi birbirinden 
virgül ya da boşlukla ayrılabilir. 

/* ile açıklama satırları yazılabilir, satıra devam — ile gösterilir. 

Örnek: 

/* kullanıcı dataset'lerinin başlangıcı 

USEROPT USRDSN kayhan.memo.text vol<V0L033 - 

hakan.report.script 

LINECOUNT sayısı 

Raporda bir sayfada kaç satır olacağını gösterir. 

FUNCTION fonksiyon-adı 

Varsayılanı ALL dur. Bazı FONKSİYON örnekleri: 


SYSTEM 
SYSPPT 
RACAUT 
RACCDT 
RACEXT 
RACGAC 
RACGRP 
RACUSR 
SYSLNK 
SYSAPF 
SYSCAT 
USRDSN gibi 
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USEROPT fonksiyon- adı kullanıcı- girdisi 

Belirtilen fonksiyon tarafından işlenecek kullanıcının girdiği input bilgisi. Fonksiyon adı 
kullanıcı girdisini işleyecek fonksiyon. USEROPT kontrol cümlesinde kullanılacak 
fonksiyon adı. 


USEROPT kontrol cümlesi 


USEROPT ve USRDSN: USEROPT ile USRDSN belirtilirse DSMON belirtilen kullanıcı 
dataseti ya da dataset'lerinin durumunu listeler. 

örneğin, Eğer USERDSN'den sonra kataloglu tam dataset adı belirtilmek istenirse şu 
cümle girilmelidir: 

USEROPT USRDSN KAYHAN.PDS:CNTL 

örneğin, Eğer USERDSN'den sonra katalogsuz tam dataset adı belirtilmek istenirse şu 


cümle girilmelidir: 


USEROPT USRDSN KAYHAN.PDS.CNTL VOL-volser 


Örnek: 


//RACDSMON JOB (VBT) , KAYHAN, MSGCLASS—X, NOTIFY-&SYSUID 


İ(KİKAKAKAKKAKAKKAKAKAKAAKKAKAAAAKAKAKKAKAA AA KAKAKKAKAKAAAAKAKKAKAKAKAK 


//X* DESCRIPTION : THIS JOB PRODUCES A RACF DSMON REPORT. 

//X WRITTEN : AUGUST 24, 2010 

//* WRITTEN BY : KAYHAN 

//* SYSTE : RACF 

//X PROGRAM : ICHDSMO0O0 - IBM RACF DSMON (DATA SECURITY MONITOR) RPT 
//* ği 

//* INPUT FILES : NONE 

//X* OUTPUT FILES: NONE 

//X* REPORTS : RACF DSMON REPORT 

ff 


İŞJİKKKKKİKAKAKKAKAKAKKA KAKA KAKAKAKKAKAKAKAKAKAKKAKAKAKAKAKAKAKKAKAKAKAK 


//STEPO1L EXEC PGMXICHDSMO0O 
//SYSPRINT DD SYSOUT—X 
//SYSUT1L DD DSN-SYSI.PARMLIB, DISP-SHR 
//SYSUT?2 DD SYSOUT-X 
//SYSIN DD * 
LINECOUNT 55 
FUNCTION USRDSN 
USEROPT USRDSN KAYHAN.PDS.SYST.CNTL VOL-VBT000 
/* 
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7.10 DSMON raporları 
DSMON aşağıdaki raporları üretir: 


Sistem raporu 

Seçilmiş dataset raporu 

Program özellikler tablosu (PPT) raporu 
Seçilmiş kullanıcı niteliği raporları 
RACF EXITS raporu 

Başlatma prosedürü tablosu 

Class Tanıtıcı tablosu 


Global Erişim Kontrol tablosu 


b b EEE 00 DE 


Grup ağacı raporu 


Sistem raporu 
Sistem raporunda aşağıdaki bilgiler bulunur: 
& İşlemcinin kimlik numarası ve modeli 
& İşletim sisteminin adı, sürümü ve release'i 
# Sistemi başlatma volume'unun seri numarası (VOLSER) 
#i SMF'in kullandığı Sistem kimliği (SMF-ID) 


Rapor ayrıca RACF'in versiyonunu ve release'ini ve aktif olup olmadığını gösterir. Aşağıda 


DSMON ile alınmış sistem özelliğini gösteren rapor çıktısı görülmektedir: 


1RACF DATA SECURİTY MONITOR DATE: 06/20/14 TIME: 14:38:33 
PAGE: 1 
- SYSTEM REPORT 


CPU-ID 04E4B6 

CPU MODEL 2817 

OPERATING SYSTEM/LEVEL z/OS 1.13.0 
SYSTEM RESİDENCE VOLUME VBT000 
SMF-ID VBT 


RACF (FMID HRF7780) IS ACTIVE 
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Grup ağacı raporu 


Grup ağacı raporu SYS1 grubu ve bunu izleyen tüm alt grupları listeler. 


Aşağıda DSMON ile alınmış grup ağacı özelliğini gösteren rapor çıktısı görülmektedir: 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 44 
— RACE GROUP TREE REPORT 
LEVEL GROUP (OWNER) 

1 SYSI (IBMUSER |) 

2 ! ACFNCP (MEARIC ) 

2 ! ECEYEGR (IBMUSER |) 

2 ! ASM (IBMUSER |) 

2 ! ASU (IBMUSER |) 

2 ! BBN (IBMUSER |) 

2 ! BDTI (IBMUSER |) 

2 ! BFS (IBMUSER |) 

2 ! BPA (IBMUSER |) 


Program Özellikleri Tablosu Raporu (PPT) 
Bu rapor MVS program özellikleri tablosu (PPT) içindeki tüm programları listeler. Rapor 
ayrıca programın, şifre koruması atlamak için yetkili olup olmadığını ve bunun bir sistem 


anahtarında çalıştırılıp çalıştırılmayacağını her program için, gösterir. 


Program özellikleri tablosu raporu aslında sadece bu programların kuruluş tarafından 
parola koruması atlatılması için yetkilendirdiğinin mümkün olduğunu doğrulamak için 
kullanılabilir. Bu tür programlar normalde iletişim ve veri tabanı programları ve diğer sistem 


kontrol programlarıdır. 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 2 
PROGRAM PROPERTİES TABLE REPORT 

PROGRAM BYPASS PASSWORD SYSTEM 

NAME PROTECTTON KEY 

OTEDOTCAM NO YES 

OISTINMO1 YES YES 

OIKTCASOO NO YES 

OAHLGTF NO YES 

OHHLGTF NO YES 
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RACF Yetkilendirmeyi Çağırna Tablosu Raporu 


Bu rapor RACF yetkilendirme çağırma tablosundaki bütün programların listesini verir. Bu 
tablodaki programlar REGUEST — VERİFY ( kullanıcı doğrulaması yapar) komutunu ya da 
REOGUESTZ-LIST (bu profilleri ana belleğe yükler) komutunu vermeye yetkilidir. Bu rapor 
sadece bu programların ACEE yi değiştirmek için gerekli yetkiye sahip olduğunu 
doğrulamak için kullanılabilir. Bu doğrulama ACEE o andaki kullanıcının tanımını 
içerdiğinden güvenlik gereksinimi için çok önemlidir. Bu tanımlar kullanıcı ID, o andaki 


bağlı grup, kullanıcı nitelikleri ve grup yetkilerini içerir. 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
6 

— RACE AE Os Rol 7, E.D CALLER TABLE REP 
ORT 

OMODULE RACINIT RACLIST 

NAME AUTHORIZED AUTHORIZED 


ONO ENTRIES IN RACF AUTHORIZED CALLER TABLE 
RACF Class Tanımlama Tablosu Raporu 


Bu rapor her bir genel kaynak class'ı için class" adı, varsayılan UACC, class'ın aktif olup 
olmadığını, denetlemenin yapılıp yapılmadığını, istatistiklerin korunup korunmadığını ve 


OPERATIONS niteliğinin kullanıcılara verilip verilmediğini listeler. 


RACF DATA SECURİTY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
26 

- RACF CLASS DESCRİPTOR TABLE REPORT 
CLASS DEFAULT OPERATIONS 

NAME STATUS AUDITING STATISTICS UACC ALLOWED 
ACCTNUM  ACTIVE NO NO NONE NO 
ACICSPCT ACTIVE NO NO NONE NO 

AlMS ACTIVE NO NO NONE NO 
ALCSAUTH  INACTIVE NO NO NONE NO 

APPCLU ACTIVE NO NO NONE NO 
APPCPORT ACTIVE NO NO NONE NO 
APPCSERV INACTIVE ONO NO NONE NO 
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Aşağıda DSMON ile tüm özelliklerin alındığı bir rapor örneği verilmiştir. Bu örnek için 
kullanılan JCL: 


000001 //RACDSMON JOB (VBT) ,KAYHAN, MSGCLASS—X, NOTIFY—&SYSUID 

000002 //##KARKAKAKAAKARARAAKAAKAKARAKAAARAKAKAKAAARAKAKAKAKAAAKARAKAKAKAKAKK 
000004 //* JOBNAME : RFJC0002 

000006 //* DESCRIPTION : THIS JOB PRODUCES A RACF DSMON REPORT. ALL 


000007 //* : AVAILABLE REPORTS ARE GENERATED. 

000009 //* : REFER TO THE RACF AUDITorS GUIDE FOR ASSISTANCE. 
000010 //* 

000011 //* WRITTEN : AUGUST 24, 2010 

000012 //* WRITTEN BY : KAYHAN 

000013 //* SYSTEM : RACF 

000014 //* PROGRAM : ICHDSM00 - IBM RACF DSMON (DATA SECURITY MONITOR) RPT 
000015 //* 

000016 //* INPUT FILES : NONE 

000017 //* 

000018 //* OUTPUT FILES: NONE 

000019 //* 

000020 //* REPORTS : RACF DSMON REPORT 


000022 //##KAKAKAAAAAAKKKAKAKKKAARKAKAAKAAARKAKAAARRAAAAAKAKAAAAKAAkAKAKAkAKAK 


000023 //STEPO1 OEXEC PGM-ICHDSMO00 

000024 //SYSPRINT DD SYSOUT—X 

000025 //SYSUTI O DD DSN-SYSI.PARMLIB,DISP-SHR 
000026 //SYSUT2 OoODD SYSOUT-X 

000027 //SYSIN DD * 

000028 Oo LINECOUNT 55 

000029 O FUNCTION ALL 

000030 //* 


Bu JCL ile alınan çıktı: Bu kitapta, örnek olması için her gruptan 5 kayıt örneği alınmıştır. 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 1 

ii SYSTEM REPORT 

(o PE e EŞE REN MEŞE pi ME EK EE zl MENE Mk il ci e EEE EE EŞE e EEE AR HE İND ERE ile GE EŞE 
OCPU-ID 04E4B6 

OCPU MODEL 2817 

OOPERATING SYSTEM/LEVEL z/0S 1.13.0 

OSYSTEM RESIDENCE VOLUME VBT000 

OSME-ID VBT 


ORACE (FMID HRF7780) IS ACTIVE 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 2 

(0) PROGRAM PRO PERTIES TABLE RE PORT 

OPROGRAM BYPASS PASSWORD SYSTEM 

NAME PROTECTION KEY 
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OTEDOTCAM 
OISTINMO1 
OIKTCASOO 
OAHLGTF 


NO 
YES 
NO 
NO 


IRACF DATA SECURITY MONITOR 


14:38:33 PAGE: 


3 


YES 
YES 
YES 
YES 


DATE: 06/20/14 


(0) PROGRAM PRO PERTIES TABLE REPORT 
OPROGRAM BYPASS PASSWORD SYSTEM 

NAME PROTECTION KEY 

OBPXINIT NO YES 

OBPXVCLNY NO NO 

OGDEISASB NO YES 

OGDEISBOT NO YES 

IRACEF DATA SECURITY MONITOR DATE: 06/20/14 
14:38:33 PAGE: 4 

(0) PROGRAM PRO PERTIES TABLE REPORT 
OPROGRAM BYPASS PASSWORD SYSTEM 

NAME PROTECTION KEY 

OBPXPINPR NO NO 

OISFHCTL NO YES 

OANEFIEP NO YES 

OMVPTNE' NO YES 

OMVPXVMCF NO YES 

IRACEF DATA SECURITY MONITOR DATE: 06/20/14 
14:38:33 PAGE: 5 

(0) PROGRAM PRO PERTIES TABLE REPORT 
OPROGRAM BYPASS PASSWORD SYSTEM 

NAME PROTECTION KEY 

OCSÇAGECP NO YES 

OIÇCINIOİ NO YES 

OBNILINTX NO NO 

ODUIFTO000 NO NO 

IRACEF DATA SECURITY MONITOR DATE: 06/20/14 
14:38:33 PAGE: 6 

—- RACE AUTHORIZED CALLER TABLE RE PORT 
OMODULE RACINIT RACLIST 

NAME AUTHORIZED AUTHORIZED 

ONO ENTRIES IN RACE AUTHORIZED CALLER TABLE 

IRACEF DATA SECURITY MONITOR DATE: 06/20/14 
14:38:33 PAGE: 7 

— RACEF EXITS REPORT 

O0EXIT MODULE MODULE 

NAME LENGTH 

ONO RACF EXITS ARE ACTIVE 
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TIME: 


TIME: 


TIME: 


TIME: 


TIME: 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME; 14:38:33 PAGE: 8 


İzi SELECTED USER ATTIRIBUTE REPORT 

OUSERID ---— ATTRIBUTE TYPE -------—--------- Oo —--—-—-------—-- ASSOCIATIONS 

(0) SPECIAL OPERATIONS AUDITOR REVOKE NODE .USERID PASSWORD 
ASSOCIATION 

(0) SYNC IYPE 


OCABAS SYSTEM 
OEMERG1I SYSTEM SYSTEM SYSTEM 
OEMERG2 SYSTEM SYSTEM SYSTEM 
OEMERG3 SYSTEM SYSTEM SYSTEM 
OALCOPINO1 SYSTEM 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 9 
m SELECTED USER ATIRIBUTE RE PORT 
OUSERID...cCcCcC00O((0O0 ————————————————— ATTRIBUTE TYPE —-—-—-—————--—-—------ Oo —————-——-----—-- ASSOCIATIONS 
(0) SPECTIAL OPERATIONS AUDITOR REVOKE NODE .USERID PASSWORD 
ASSOCIATION 
(0) SYNC TYPE 
OCANANO SYSTEM 
ODB2OPR SYSTEM 
ODB2PM SYSTEM SYSTEM 
OHASENA GROUP GROUP GROUP 
OMERYEM SYSTEM 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 10 
> SELECTED USER ATIRIBUTE RE PORT 
ÖOUSERID..-cCcCcC00O(((0O0 ————————————————— ATTRIBUTE TYPE —-—-—-—————--—-—------ Oo —————-——-----—-- ASSOCIATIONS 
(0) SPECIAL OPERATIONS AUDITOR REVOKE NODE .USERID PASSWORD 
ASSOCIATION 
(0) SYNC TYPE 
OIBMUSER SYSTEM SYSTEM SYSTEM 
ISMET SYSTEM SYSTEM SYSTEM 
OKAYHAN SYSTEM SYSTEM 
ÖLEVENTD GROUP GROUP GROUP 
ORMMUSER SYSTEM 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 11 
zi SELECTED USER ATIRIBUTE RE PORT 
OUSERID..cCcCcC00(((0O0 ————————————————— ATTRIBUTE TYPE —-——-—————--——------ Oo —————-——-----—-- ASSOCIATIONS 
(0) SPECIAL OPERATIONS AUDITOR REVOKE NODE .USERID PASSWORD 
ASSOCIATION 
(0) SYNC TYPE 


OSMECLEAR SYSTEM 

OSMFSAVT SYSTEM 

OSTCADMIN SYSTEMORAGIP SYSTEM 
OSYSADM SYSTEM SYSTEM SYSTEM 

OSYSOPER SYSTEM SYSTEM 
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IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 12 

Si SELECTED USER ATTIRIBUTE RE PORT 

OUSERID...cCcCc00((0O0 ————————————————— ATTRIBUTE TYPE —-—-—-—————--—-—------ Oo ———-—-—-——----—-- ASSOCIATIONS 

(0) SPECIAL OPERATIONS AUDITOR REVOKE NODE .USERID PASSWORD 
ASSOCIATION 

(0) SYNC TYPE 
OEXPECT SYSTEM SYSTEM SYSTEM 

OEXPECT 

EXPECT GROUP GROUP GROUP 

OWNASINST SYSTEM SYSTEM 

IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 13 

SELECTED USER ATTRIBUTE SUMMARY REPORT 

ÜYE SİLİS İZİ Lİ Şİİ İİ EY İİİ İİ A a İl 

OTOTAL DEFINED USERS: 3,828 

OTOTAL SELECTED ATTRIBUTE USERS: 

OATTRIBUTE BASIS SPECTIAL OPERATIONS AUDITOR REVOKE 

OSYSTEM 68 38 15 3 

OGROUP 12 11 12 1 

IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 14 

izi RACE STARTED PROCEDURES TABLE REPORT 


OFROM PROFILES IN THE STARTED CLASS: 


26 


REPORT 


PROFILE ASSOCIATED ASSOCIATED 
NAME USER GROUP PRIVILEGED TRUSTED TRACE 
OAPPC —-STDATA NOT SPECIFIED, ICHRINO3 WILL BE USED- 
ODB2TWLM SYSADM NO NO NO 
ODUMPSRV —-STDATA NOT SPECIFIED, ICHRINO3 WILL BE USED- 
ORME —-STDATA NOT SPECIFIED, ICHRINO3 WILL BE USED- 
OTCPIPROC IBMUSER sysı NO YES NO 
OBBNSOOLA.* (6G) WSCRUL WSCEGI NO NO YES 
OBBNS001S.* (6G) WSSRUL WSCEG1I NO NO YES 
OBBN7ACR.* (G) WSCRUL WSCEG1I NO NO YES 
OBBN7ADM.* (6G) WSADMSH WSCEG1I NO NO YES 
OBBN7DMNB.* (6G) WSCRUL WSCEG1I NO NO YES 
OBLSUPRMI.* (6G) STCADMIN STCGROUP NO YES NO 
OBPXAS.* (6G) STCADMIN STCGROUP NO YES NO 
OBPXOINIT.* (G) IBMUSER Ssysı NO NO NO 
IRACE DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
iz RACF CLASS DESCRIPTOR TABLE 
OCLASS DEFAULT OPERATIONS 
NAME STATUS AUDITING STATISTICS UACC ALLOWED 
OACCTINUM ACTIVE NO NO NONE NO 
OACICSPCT ACTIVE NO NO NONE NO 
OAIMS ACTIVE NO NO NONE NO 
OALCSAUTH INACTIVE NO NO NONE NO 
OAPPCLU ACTIVE NO NO NONE NO 
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OAPPCPORT 
OAPPCSERV 


ACTIVE 
INACTIVE 


IRACF DATA SECURITY MONITOR 


ACCESS 


NO NO NONE NO 
NO NO NONE NO 


DATE: 06/20/14 TIME: 14:38: 
RACF GLOBAL ACCESS TABLE 


33 PAGE: 
REPORT 


ODATASET 


(0) 
(0) 
(0) 
o 
o 
o 


UPDATE 
READ 


IRACF DATA SECURITY MONITOR 


OAIMS 
OTCICSTRN 
OPCICSPSB 
OGMBR 
ODSNR 
OFACILITY 
OUNIXPRIV 
OSERVAUTH 
OVMMDISK 
OVMRDR 
OVMCMD 
OVMNODE 
OVMBATCH 
OVMLAN 
OVMDEV 
OSCDMBR 
OFCICSECT 
OJCICSICT 
ODCICSDCT 
0SCICSTST 
OMCICSPPT 
OACICSPCT 
OPMBR 
OTSOPROC 


ACCESS 


IRACF DATA SECURITY MONITOR 


ACCESS 


NIPPEREK.* 
SYSI.BRODCAST 
Ssysı.* 
DATE: 06/20/14 TIME: 14:38: 
RACF GLOBAL ACCESS TABLE 


—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— GLOBAL INACTIVE -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— GLOBAL INACTIVE -- 
—— GLOBAL INACTIVE -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
DATE: 06/20/14 TIME: 14:38: 
RACF GLOBAL ACCESS TABLE 


33 PAGE: 
REPORT 


33 PAGE: 
REPORT 


36 


37 


38 


OACCTNUM 
OPERFGRP 
OTSOAUTH 
OMGMTCLAS 
OSTORCLAS 
OFIELD 
OCCICSCMD 
OVMBR 
OPROPCNTL 


-— NO ENTRIES -- 
-—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
—— NO ENTRIES -- 
-— NO ENTRIES -- 
-—— NO ENTRIES -- 
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OAPPCLU 
OSMESSAGE 
ODEVICES 
OVTAMAPPL 
OPSFMPL 
OOPERCMDS 
OWRITER 
OJESSPOOL 
OJESJOBS 
OJESINPUT 
OCONSOLE 
OSURROGAT 
ONODMBR 
ONO VBT 
OPIMS 
IRACEF DATA SECURITY MONITOR 


ACCESS 


-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 
-- NO 


ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 


— NO ENTRIES -- 


-—— NO ENTRIES -- 


GL 


TINE: 
TABLE 


14:38:33 PAGE: 


REPORT 


ONVASAPDT 
OVXMBR 
OCIMS 
ODLFCLASS 
OSDSF 
OCSFSERV 
OCSFKEYS 
OXCSFKEY 
OAPPCTP 
OAPPCSI 
OAPPCPORT 
ORMTOPS 
OINFOMAN 
OAPPCSERV 
ORODMMGR 
OMOOUEUE 
OMOPROC 
OMONLIST 
OMOADMIN 
OMOCMDS 
OMOCONN 
IRACF DATA SECURITY MONITOR 


ACCESS 


ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 


GL 


DATE: 06/20/14 

OBAL ACCESS 
DATE: 06/20/14 

OBAL ACCESS 


TIME: 
TABLE 


14:38:33 PAGE: 


REPORT 


39 


40 


ONETCMDS 
ONETSPAN 
OSUBSYSNM 
OCPSMOBJ 
OCPSMXMP 
ORACGLIST 
OPTKTDATA 
OLFSCLASS 
OMOCHAN 
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ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
ENTRIES 
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ODBNFORM -—— NO ENTRIES -- 


OIBMOPC —— NO ENTRIES -- 
OLOGSTRM —— NO ENTRIES -- 
OKEYSMSTR —— NO ENTRIES -- 
ODCEUUIDS —— NO ENTRIES -- 
OPTKTVAL —— NO ENTRIES -- 
OSTARTED —— NO ENTRIES -- 
ORRSFDATA —— NO ENTRIES -- 
ORACFEVNT —— GLOBAL INACTIVE -- 
OSYSMVTEW —— NO ENTRIES -- 
OTMEADMIN —— GLOBAL INACTIVE -- 
ODIGTCERT —— GLOBAL INACTIVE -- 
ODIGTRING —— GLOBAL INACTIVE -- 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 41 
ei RACF GLOBAL ACCESS TABLE REPORT 
OCLASS ACCESS ENTRY 

NAME LEVEL NAME 

OCRYPTOZ —— GLOBAL INACTIVE -- 
OREALM —— GLOBAL INACTIVE -- 
OKERBLINK —— GLOBAL INACTIVE -- 
OROLE —— GLOBAL INACTIVE -- 
ONOTELINK —— GLOBAL INACTIVE -- 
ONDSLINK —— GLOBAL INACTIVE -- 
OCBIND —— NO ENTRIES -- 
OSERVER —— NO ENTRIES -- 
O0SOMDOBJS —— NO ENTRIES -- 
OVMPOSIX —— NO ENTRIES -- 
OUNIXMAP —— GLOBAL INACTIVE -- 
OFILE —— NO ENTRIES -- 
ODIRECTRY —— NO ENTRIES -- 
OSFSCMD —— NO ENTRIES -- 
OALCSAUTH —— NO ENTRIES -- 
OMDSNDB —— GLOBAL INACTIVE -- 
OMDSNTS —— GLOBAL INACTIVE -- 
OMDSNTB —— GLOBAL INACTIVE -- 
OMDSNPN —— GLOBAL INACTIVE -- 
OMDSNPK —— GLOBAL INACTIVE -- 
OMDSNSM —— GLOBAL INACTIVE -- 
OMDSNBP —— GLOBAL INACTIVE -- 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 42 

mi RACF GLOBAL ACCESS TABLE REPORT 
OCLASS ACCESS ENTRY 

NAME LEVEL NAME 


ODSNADM -— GLOBAL INACTIVE -- 
OMDSNUT -— GLOBAL INACTIVE -- 
OMDSNUF —— GLOBAL INACTIVE -- 
OMDSNSP —— GLOBAL INACTIVE -- 
OMDSNSC -— GLOBAL INACTIVE -- 
OMDSNSÇ —— GLOBAL INACTIVE -- 
OMDSNİJR -— GLOBAL INACTIVE -- 
OJAVA -— GLOBAL INACTIVE -- 
OEJBROLE —— GLOBAL INACTIVE -- 
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OCACHECLS 


-— GLOBAL INACTIVE 


ACCESS 


TABLE 


DATE: 


06/20/14 


REPORT 


OPRINTSRV —— GLOBAL INACTIVE -- 
OLDAPBIND —— GLOBAL INACTIVE -- 
OXFEMERGIT —— NO ENTRIES -- 
OCDT —— GLOBAL INACTIVE -—- 
OCFIELD —— GLOBAL INACTIVE -—- 
OVMSEGMT —— NO ENTRIES -- 
OVMMAC —— NO ENTRIES -- 
OTEMPDSN —— NO ENTRIES -- 
ODIRAUTH —— NO ENTRIES -- 
ODIRSRCH —— NO ENTRIES -- 
ODIRACC —— NO ENTRIES -- 
OFSOBJ —— NO ENTRIES -- 
OFSSEC —— NO ENTRIES -- 
OPROCESS —— NO ENTRIES -- 
IRACF DATA SECURITY MONITOR 

14:38:33 PAGE: 43 

5 RACF GLOBAL 
OCLASS ACCESS ENTRY 

NAME LEVEL NAME 

OPROCACT —— NO ENTRIES -- 
OIPCOBJ —— NO ENTRIES -- 
OILMADMIN —— GLOBAL INACTIVE -- 
OTIIMS —— GLOBAL INACTIVE -- 
OLIMS —— GLOBAL INACTIVE -- 
ORAUDITX —— GLOBAL INACTIVE -- 
ORCICSRES —— NO ENTRIES -- 
ORACHCMBR —— GLOBAL INACTIVE -- 
OIDIDMAP —— GLOBAL INACTIVE -—- 
OZMFAPLA —— GLOBAL INACTIVE -- 
OLDAP —— GLOBAL INACTIVE -- 
OFSACCESS —— GLOBAL INACTIVE -- 
OSYSAUTO —— GLOBAL INACTIVE -- 
OMDSNGV —— GLOBAL INACTIVE -- 
ORDATECEB —— GLOBAL INACTIVE -- 
OMXOUEUE —— GLOBAL INACTIVE -- 
OMXPROC —— GLOBAL INACTIVE -- 
OMXNLIST —— GLOBAL INACTIVE -- 
OMXADMIN —— GLOBAL INACTIVE -- 
OMXTOPIC —— GLOBAL INACTIVE -- 


IRACF DATA SECURITY MONITOR 


RACF GROUP 


TREE 


REPORT 


DATE: 


06/20/14 


14:38:33 PAGE: 44 

b GROUP (OWNER) 
ı Ssysı (IBMUSER ) 
2 ! ACENCP (MEARIC |) 
2 ECEYEGR (IBMUSER ) 
2 ! AOP (IBMUSER ) 
2 ! AOPADMIN (IBMUSER ) 
2 ! AOPOPER (IBMUSER ) 
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TIME: 


TIME: 


2 ! APK (IBMUSER ) 


ei ! ASM (IBMUSER ) 
U 
2 ! ASU (IBMUSER ) 
, 
2 ! BEN (IBMUSER ) 
! 
2 ! BDTI (IBMUSER ) 
! 
2 ! BES (IBMUSER ) 
! 
2 ! BPA (IBMUSER ) 
! 
2 ! ALCOPINOG (MEARIC |) 
! 
2 ! cEC (IBMUSER ) 
! 
2 ! cps (IBMUSER ) 
! 
2 ! CEAGP (IBMUSER ) 
! 
2 ! CEE (MEARIC |) 
! 
2 ! CEZ (IBMUSER ) 
! 
2 ! CEZADMGP (IBMUSER ) 
! 
2 ! CEZSRVGP (IBMUSER ) 
! 
2 ! CEZUSRGP (IBMUSER ) 
! 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 45 
Zi RACF GROUP TREE REPORT 
LEVEL (GROUP (OWNER) 
2 ! CICGR (SYSADM ) 
! 
2 ! CICSGR 
! 
2 ! CICSGRP 
! 
2 ! CICSSMP (MEARIC O) 
! 
, 
2 ! CIM (IBMUSER ) 
, 
2 ! CMX (IBMUSER ) 
U 
2 ! CPAC (IBMUSER ) 
U 
2 ! CPO (IBMUSER ) 
, 
2 |! CPOCTRL (IBMUSER ) 
, 
2 ! CPOÇUERY (IBMUSER ) 
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2 ! CPOUGRP (IBMUSER ) 


2 1! CSE (IBMUSER ) 
! 
2 ! DASADMG (SYSADM |) 
! 
2 ! DB2CAT (SYSADM |) 
' 
2 |! DB2C220 (MEARIC O) 
! 
2 ! DB2SMP (MEARIC o) 
! 
2 |! DERMM 
! 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
- RACEF GROUP TREE REPORT 
LEVEL (GROUP (OWNER) 
2 !DIT (MEARIC o) 
, 
2 1! DSNIO1 (SYSADM ) 
! 
2 |! DSN230 (IBMUSER ) 
! 
2 |! DSN310 (MEARIC o) 
! 
2 1! DSN710 (IBMUSER ) 
' 
2 |! DSN810 (IBMUSER ) 
! 
2 ! D39OSSA (IBMUSER ) 
! 
2 ! D390Sss1 (IBMUSER ) 
! 
2 |! D390SS2 (IBMUSER ) 
! 
2 ! ECN (IBMUSER ) 
! 
2 ! ADGR (SYSADM ) 
! 
2 ! ADGRI (SYSADM ) 
! 
2 |! ADGR2 (SYSADM ) 
! 
2 |! ADGR3 (SYSADM ) 
! 
2 |! ADGR4 (SYSADM ) 
! 
2 1! ADGR5 (SYSADM ) 
! 
2 |! ADGR6 (SYSADM ) 
! 
2 |! ADGR7 (SYSADM ) 
! 
2 |! ADGR8 (ISMAIL ) 
! 
2 |! ADGR9 (SYSADM ) 
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2 ! WORK 


2 |! WORKLI (MEARIC o) 
! 

2 ! EMPLOYEE O(SYSADM ) 
! 

2 ! EOX (IBMUSER ) 
! 
2 ! EOY (IBMUSER ) 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
47 
- RACF GROUP TREE REPORT 
LEVEL (GROUP (OWNER) 
2 ! EPH (IBMUSER ) 
! 

2 ! EÇAN (IBMUSER ) 
! 

2 ! EW (IBMUSER ) 
! 

2 ! EUVE (IBMUSER ) 
! 

2 |! DOCUGR 
! 

2 ! DOCUGRI (SYSADM ) 
! 

2 ! DOCUGR2 (IBMUSER ) 
! 

2 ! DOCUGR3 (SYSADM ) 
! 

2 ! DOCUGR4 (SYSADM ) 
! 

2 ! DOCUGR5 O(SYSADM ) 
! 

2 ! DOCUGRG (SYSADM ) 
! 

2 ! DOCUGRT (SYSADM ) 
! 

2 ! DOCUGR8 (SYSADM ) 
! 

2 ! DOCUGR9 (SYSADM ) 
! 

2 ! DOCUGIO (SYSADM ) 
! 

2 ! DoOcUGll o(SYSADM ) 
! 

2 ! DOCUGI2 (SYSADM ) 
! 

2 ! DOCUGI3 (SYSADM ) 
! 

2 ! DOCUGI4 (SYSADM ) 
! 

2 ! DOCUGI5 (SYSADM |) 
! 

2 ! DOCUGI6 (ISMAIL ) 

2 ! DOCUGI7 (ISMAIL ) 
! 

2 ! EWX (IBMUSER ) 
! 

2 ! EXTERNAL O(SYSADM ) 
! 

2 ! FEST (IBMUSER ) 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 301/525 


IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 


- RACF GROUP TREE REPORT 
LEVEL (GROUP (OWNER) 
2 ! GDDM (IBMUSER ) 
! 

2 ! GENELGR (SYSADM ) 

va, 
3 ! ! DDEGR (EXPECT ) 
! 

2 ! GIM (MEARIC o) 
! 

2 ! GLD (IBMUSER ) 
! 

2 ! GHI (IBMUSER ) 
' 

2 ! HAP (IBMUSER ) 
! 

2 ! HCM (IBMUSER ) 
! 

2 ! HLA (MEARIC O) 
! 

2 ! LAWGR (SYSADM ) 
! 

2 ! FREEGR (SYSADM ) 
! 

2 ! IBMZ (IBMUSER ) 
! 

2 ! ICA (IBMUSER ) 
! 

2 ! ICMGR (SYSADM ) 
! 

2 ! ICMGRP (IBMUSER ) 
! 

2 1! 1c9 (MEARIC o) 
! 

2 ! IDAGR (SYSADM ) 
! 

2 ! IDARIGR (SYSADM ) 
! 

2 ! ORDERGR 
! 

2 ! ORDERGRI O (SYSADM ) 
! 

2 ! ORDERGR?2 (SYSADM ) 
! 

2 ! ORDERGR3 (SYSADM ) 
! 

2 ! ORDERGRA o(SYSADM ) 
! 

2 !1ILM (IBMUSER ) 
! 

2 ! IMO (IBMUSER ) 
IRACEF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
- RACF GROUP TREE REPORT 

LEVEL (GROUP (OWNER) 
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(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(ISMAIL ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(IBMUSER ) 


(SYSADM 


(SYSADM 


(SYSADM 


(SYSADM 


(SYSADM 


(SYSADM 


(SYSADM 


(SYSADM 


SECURITY MONITOR 


(OWNER) 


RACEF 


DATE: 
GROUP 


06/20/14 
TREE 


TIME: 14:38:33 PAGE: 
REPORT 


2 ! IMN 
! 

2 ! IMWEB 
' 

2 ! ING 
! 

2 ! INTGR 
! 

2 !1ICA 
! 

2 ! 1I0E 
! 

2 !IPol 
! 

2 ! ISE 
! 

2 ! ISP 
! 

2 ! IWMADMGP 
! 

2 ! IXM 
! 

2 ! IZU 
! 

2 ! IZUADMIN 
! 

2 ! IZUUSER 
! 

2 ! JAVA 
! 

2 ! NIPPERGRI 
! 

2 ! NIPPERGR2 
! 

2 ! NIPPERGR3 
, 

2 ! NIPPERGR4 
! 

2 ! NIPPERGR5 
! 

2 ! NIPPERGR6 
! 

2 ! NIPPERGR7 
! 

2 ! NIPPERGR8 

IRACE DATA 
LEVEL (GROUP 

2 ! NIPPERGOl 
' 

2 ! KESGR 
! 

2 ! MSOPS 
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(IBMUSER 


(IBMUSER ) 
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50 


2 ! MVSSMP (MEARIC O) 


2 ! NETVIEW (IBMUSER ) 
! 

2 ! OMEGGRP 
! 

2 1! OMVSs (IBMUSER ) 
! 

2 ! OMVSGRP (IBMUSER ) 
! 

2 ! OPERGR (SYSADM ) 
! 

2 ! PAGE (IBMUSER ) 
! 

2 ! PERGR (SYSADM ) 
.' 

3 |! ! EMCICSGR (IBMUSER ) 
! 

2 ! PEOPAGGR (SYSADM ) 
! 

2 ! PEOPONGR (SYSADM ) 
.' 

3 ! ! MUHAGR (IBMUSER ) 
.' 

3 ! ! MUHGR (IBMUSER ) 
! 

2 ! PEOPONGI Oo (AGULSEN ) 
! 

2 ! PLI (MEARIC O) 
! 

2 ! PUBLICGR (SYSADM ) 
! 

2 ! 9cB (MEARIC O) 
! 

2 ! RESOLVER o (IBMUSER ) 
! 

2 ! REXX (IBMUSER ) 
! 

2 ! RMM 
! 
2 |! SAGLIKGR (NDIM ) 
IRACEF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
- RACF GROUP TREE REPORT 
LEVEL (GROUP (OWNER) 
2 ! IDEGR 
! 

2 ! IDEISGR (SYSADM ) 
! 

2 ! IDEISGRI o (SYSADM ) 
! 

2 ! IDEISGR?2 (SYSADM ) 
! 

2 ! IDEISGR3 (SYSADM ) 
! 

2 ! IDEISGR4 o(SYSADM ) 
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2 ! SMEDMP (MEARIC O) 


2 ! SMPE (IBMUSER ) 
! 
2 |! SOMMVS (MEARIC O) 
! 
2 ! SPECIAL (SYSADM ) 
, 
2 ! STCGROUP 
! 
2 ! STGADMIN (SYSADM ) 
! 
2 ! SsYscTLG (IBMUSER ) 
! 
2 ! SyS01168 (SYSADM ) 
! 
2 1! sys2 (MEARIC o) 
! 
2 ! TCPIVP (IBMUSER ) 
! 
2 ! TEZOS10 
! 
2 ! TIVOLI (IBMUSER ) 
, 
2 ! TTY (MEARIC O) 
' 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
- RACF GROUP TREE REPORT 
LEVEL (GROUP (OWNER) 
2 ! uucPG (IBMUSER ) 
! 
2 ! vSAMDSET O (IBMUSER ) 
' 
2 ! WLMGRP (IBMUSER ) 
! 
2 ! WSCEGI (IBMUSER ) 
! 
2 ! WSCLGP (IBMUSER ) 
! 
2 ! WSSRI (IBMUSER ) 
! 
2 ! WWGROUP O (IBMUSER ) 
! 
2 ! AGEGS5GR (ISMAIL ) 
! 
2 ! AGEGSMGR (SYSADM ) 
! 
2 ! ZEFSGRP (IBMUSER ) 
! 
2 ! ZOSMFGRP (IBMUSER ) 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 14:38:33 PAGE: 
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(0) 
DATASET 


NAME 


SELECT 
VOLUME 
SERIAL 


ED 


DATA 
SELECTION 


CRITERION 


OASM.SASMMODI 


0) 


OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 
OALCOPAN. 


MCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 
UCAT. 


OCBC.SCLBDLL 


OCBC.SCLBDLL2 


OCBC.SCLBDLL 


OCBC.SCLBDLL2 


OCBC.SCLBSID 


OCEE .SCEERUN 


IRACE DATA SECURITY MONITOR 


(0) 
DATASET 


NAME 


VBT3C1 
PCPP 
VCES84 
VCPOSE 
VBTSO1L 
VBT101 
VGYDKVV 
VHYDKVV 
VOES510 
VSEPSO1 
VBTIXG 
VTES000 


CES840 
VBT3WI 
VBTSO1 
VBT101 
GYDKVV 
HYDKVV 
OES510 
VBPSO1L 
VBTIXG 
VBS000 
VBT000 


VBTO00 


VBT3R2 
VBT3R2 
VBT3R2 
VBTO00 


LNKLSTI - APF 


MASTER ALCOPAN 


USER 
USER 
USER 
USER 
USER 
USER 
USER 
USER 
USER 
USER 
USER 


ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 
ALCOPAN 

APE 

LNKLST - APF 
APF 

LNKLSTI - APF 
LNKLST 
LNKLST 
LNKLST 

APE 

LNKLST - APF 


DATE: 06/20/14 


OCPAC.LINKLIB 


0) 


OCPAC.VTAMLIB 


0 


OCSF.SCSEMODO 


0) 


LNKLSTI - APEF 


ODIT.VIR3MO.SDITMODI 


0) 


ODSN101.SDSNEXIT 


0 


ODSN101.SDSNLINK 


0) 


ODSN101. SDSNLOAD 


0) 


ODSN101. SDSNLOD2 


ODSN101.SDXRRESL 


SELECTED DATA 
VOLUME SELECTION 
SERIAL CRITERION 

VBT3C1 APF 
LNKLST 
VBT3C1 APF 
LNKLST 
VBT000 APE 
LNKLST 
VBTO000 APF 
LNKLST 
VBT101 APF 
LNKLST 
VBT101 APF 
LNKLST 
VBT101 APF 
LNKLST 
VBT101 LNKLST 
VBT101 APE 
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SETS REPORT 
RACE RACE 
INDICATED PROTECTED UACC 
NO YES READ 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES UPDATE 
NO YES READ 
NO YES READ 
NO YES READ 
NO YES READ 
NO YES READ 
NO YES READ 
TIME: 14:38:33 PAGE: 54 
SETS REPORT 
RACE RACE 
INDICATED PROTECTED UACC 
NO YES READ 
— APF 
NO YES READ 
— APF 
NO YES READ 
— APF 
NO YES READ 
— APF 
NO NO 
— APF 
NO NO 
— APF 
NO NO 
— APF 
NO NO 
NO NO 


OEOX.SEPHLODI 

O0EOY .SEOYLOAD 

OFFST.V120ESA. SEPWMODI 
OFFST.V120ESA. SEPWMOD2 

(0) 

OFEFST.V120ESA. SEPWMOD3 
OFFST.V120ESA. SEPWMODA4 
IRACF DATA SECURITY MONITOR 
(0) 

DATASET NAME 


SELECT 


TIME: 
SETS 


OGDDM. SADMMOD 
OGIM.SGIMLMDO 
OIBMZ.SIBMZCMP 
OISF.SISFLINK 
OISF.SISFLOAD 
(0) 
O0ISF.SISEFMODI 
OREXX. SEAGALT 
(0) 

0SYSI.CMDLIB 

(0) 

(0) 

0SYSI.CSSLIB 

(0) 
0SYSI.DFOLLIB 
IRACE DATA SECURITY MONITOR 


14:38:33 PAGE: 56 


(0) 
DATASET NAME 


SELECT 


0SYSI.DGTLLIB 
(0) 
0SYSI.IMAGELIB 
0SYSI.LINKLIB 
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VBTO000 LNKLST 
VBT000 LNKLST 
VBT000 APF 
VBT000 APE 
LNKLST — APEF 
VBTO000 APF 
VBTO000 LNKLST 
DATE: 06/20/14 
ED DATA 
VOLUME SELECTION 
SERIAL CRITERION 
VBTO000 LNKLST 
VBTO000 LNKLST 
VBTO000 LNKLST 
VBT000 APF 
VBT000 APF 
LNKLST - APF 
VBTO000 APF 
VBTO000 APE 
LNKLST - APF 
VBT3R2 APE 
LNKLST - APF 
SYSTEM 
VBT3R2 APF 
LNKLST - APF 
VBTO000 APF 
ED DATA SE 
VOLUME SELECTION 
SERTIAL CRITERION 
LNKLST - APF 
VBTO000 APF 
LNKLST - APF 
VBT000 SYSTEM 
VBTO000 APF 
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NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
14:38:33 PAGE: 55 
REPORT 
RACE RACE 
INDICATED PROTECTED UACC 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
NO YES 
DATE: 06/20/14 
REPORT 
RACE RACE 
INDICATED PROTECTED 
NO YES 
NO YES 
NO YES 


TIME: 


UACC 


(0) LNKLST — APF 
(0) SYSTEM 
0SYSI.LPECEB VBT000 APF NO YES READ 
(0) SYSTEM 
0SYSI.MIGLIB VBT000 APF NO YES READ 
(0) LNKLST — APF 
0SYSI.NFSLIBE VBT000 APF NO YES READ 
(0) LNKLST —- APF 
0SYSI.NUCLEUS VBT000 SYSTEM NO YES READ 
0SYSI.PARMLIB VBT3C1 SYSTEM NO YES READ 
0SYSI. PROCLIB VBT3C1 SYSTEM NO YES READ 
0SYSI.RACE VBT3C1 RACE PRIMARY YES YES NONE 
0SYSI.RACFSEC VBT3C1I RACF BACKUP YES YES NONE 
0SYSI.SBDTCMD VBT000 APF NO YES READ 
(0) LNKLST —- APF 
0SYSI.SBDTLIB VBT000 APF NO YES READ 
(0) LNKLST —- APF 
0SYSI.SBDTLINK VBT000 APF NO YES READ 
(0) LNKLST —- APF 
IRACEF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 57 
- SELECTED DATA SETS REPORT 
(0) VOLUME SELECTION RACE RACE 

DATASET NAME SERIAL CRITERTION INDICATED PROTECTED UACC 
0SYSI.SCBDHENU VBT3R2 LNKLST NO YES READ 
0SYSI.SERBLINK VBT000 APF NO YES READ 
(0) LNKLST — APF 
0SYSI.VBT.VTAMLIB VBT000 APF NO YES READ 
0SYSI.SHASLNKE VBT000 APF NO YES READ 
(0) LNKLST —- APF 
0SYSI.SHASMIG VBT000 APF NO YES READ 
(0) LNKLST —- APF 
0SYSI.SICELINK VBT000 LNKLST NO YES READ 
0SYSI.SIEALNKE VBT000 APF NO YES READ 
(0) LNKLST — APF 
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0SYSI.SIEAMIGE VBT000 APE NO YES READ 


(0) LNKLST — APF 
0SYSI. SIOALMOD VBTO000 APF NO YES READ 
(0) LNKLST — APF 
0SYSI.SISTCLIB VBT3R2 APF NO YES READ 
0SYSI.SORTLIB VBT3R2 LNKLST NO YES READ 
0SYSI.SVCLIB VBT000 APF NO YES READ 
(0) SYSTEM 
0SYSI.UADS VBT000 SYSTEM NO YES READ 
0SYSI.VOLCAT.VGENERAL VBPO001 USER ALCOPAN NO YES READ 
0SYSI.VTAMLIB VBT000 APF NO YES READ 
OTCPIP.SEZADSIL VBT3R2 APF NO YES READ 
OTCPIP.SEZALNK2 VBT3R2 APF NO YES READ 
IRACF DATA SECURITY MONITOR DATE: 06/20/14 TIME: 
14:38:33 PAGE: 58 
- SELECTED DATA SETS REPORT 
(0) VOLUME SELECTION RACE RACE 

DATASET NAME SERIAL CRITERTION INDICATED PROTECTED UACC 
OTCPIP.SEZA.LOAD VBT3R2 APF NO YES READ 
(0) LNKLST —- APF 
OTCPIP.SEZATCP VBT3R2 APF NO YES READ 
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8.0 Entegre edilmiş Güvenlik Servis bileşenleri 


» |İBM Tivoli Directory Server (LDAP Server) 


» Network Authentication Service (Kerberos) 


e Enterprise Identity Mapping (EM) 


Open Cryptographic Enhanced Plug-ins (OCEP) 


»e DCE Security Server 
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Temel güvenlik fonksiyonları iki ayrı parça halinde gönderilir. 
#i Güvenlik Sunucusu RACF ve diğerleri 


& Entegre edilmiş Güvenlik Servisleri 


Web Tabanlı Uygulamalarda Güvenliğin Sağlanması 


Bilişim teknolojileri kullanılarak verilen hizmetler, günümüzde büyük ölçüde web tabanlı 
uygulamalar aracılığıyla sunulmaktadır. Özellikle 2006 yılı sonrası web 2.0 ve bulut bilişim 
alanındaki gelişmelere bağlı olarak, yeni bilgi güvenliği sorunları da gündeme gelmiştir. 


İnternet üzerinden yapılan saldırıların büyük bölümü, sunucu bilgisayarların işletim 
sisteminin ve web tabanlı uygulamaların açıkları kullanılarak yapılmaktadır. Sistemleri 
üzerinde büyük veri yığınları bulunduran birçok yer sağlayıcı, sunmuş olduğu bilgi 
kaynaklarına erişimi web sayfası aracılığıyla sağlamaktadır. Yer sağlayıcıların, web sayfası 
üzerinden erişime açılan bilgi kaynakları ve kullanılan web tabanlı uygulamalarla ilgili 


sorumlulukları bulunmaktadır. 


Bununla beraber, yeni web uygulamaları ile meydana gelen bilgi güvenliği sorunları; teknik 
ve hukuki boyutlarıyla farklı disiplinlerin de konusu haline gelmiş ve birçok boyutu ile 
mücadele edilmesi gereken karmaşık bir yapıya dönüşmüştür. Bulut bilişim ve Web 2.0 
kullanımı ile iş dünyası ve e-ticaret alanında sağlanan avantajlar (maliyetlerin düşmesi vd.) 
bilgi güvenliği politikalarının üretilmesi noktasında söz sahibi olan kuruluş ve örgütleri de 
harekete geçirmiştir. 


Elektronik bilgi kaynaklarını depolayan ve belirli anlaşmalara bağlı olarak erişim hizmeti 
sağlayan (veritabanları vd.) bilgi merkezleri ve bulut hizmet sağlayıcılarının, belirli güvenlik 
standartların sağlanması (ISO 27001-2005 * gibi) ve mevcut güvenlik politikalarına (yasal 


düzenlemeler, AB direktifleri vd.) uyum konusunda sorumlulukları bulunmaktadır. 
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Temel olarak web tabanlı hizmetlerin sunulması konusunda ulusal ve uluslararası bilgi 
güvenliği politikalarına yön veren ve özellikle AB ve ABD bilgi güvenliği politikaları üzerinde 


en fazla tartışılan bilgi güvenliği risk alanları ve açıklık kazanmamış konular şunlardır : 


» Kişisel verilerin güvenliği ve denetim alanı dışındaki ülkelere taşınması konuları, 
»e Hizmet alınan firmaların güvenilirliği ve hizmet sözleşmelerindeki belirsizlikler, 

» Veri bütünlüğünün sağlanması, erişim ve kimlik denetimi sorunları, 

» Büyükveri alanlarının siber saldırıların hedefi haline gelmesi, 

» Adliincelemelerin ve Sayısal delillerin elde edilmesi konusundaki belirsizlikler ve 


» Yasal düzenlemelerdeki eksiklikler. 


ISO 27001-2005 (Bilgi Güvenliği Yönetim Sistemi): Hassas verilerin güvenliğinin 
sağlanması konusunda sistematik bir yaklaşım ile gereksinimleri tanımlayan, her boyuttaki 


şirket ve kamu kuruluşuna uygulanabilecek uluslararası standarttır 
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8.1 LDAP - Basit Dizin Erişim Protokolü 


#w LDAP küresel bir dizin modelidir. 

& Orijinal olarak X.500'ün ön ucu olarak geliştirilmiştir. (DAP Dizin Erişim Protokolü ) 
& LDAP protokolü TCP üzerinde çalışır 

&i Küresel dizin modeli kayıtlara dayalıdır 

&#i Her kayıt DN ile anılır (distinguished name) 


“e Her kayıt nitelikler koleksiyonudur 
cn (Common name), ou (organization unit), o (organization) 


#i Her niteliğin bir tipi ve değerleri vardır 
& nitelikler nesne sınıflarına gruplanırlar. 


Bir network' ten erişilebilen değişik kullanıcılar, uygulamalar, dosyalar, yazıcılar ve diğer 
kaynakları tanımlama bilgisi çoğunlukla direktör / directory denilen özel bir veri tabanına 
toplanır. Farklı networklerin ve uygulamaların sayıları büyüdükçe özelleştirilmiş 
directory'lerin de sayısı bilgi adacıkları oluşturacak paylaşımı ve yönetimi zorlaşacak 
şekilde büyümüştür. Eğer bu bilginin tamamına istikrarlı ve kontrollü bir tarzda erişim ve 
koruma mümkün olsaydı, dağıtık bir ortamı tutarlı ve eklentisiz bir sisteme birleştirecek bir 


odak noktası sağlanmış olurdu 


LDAP bu ihtiyaçları karşılamak için geliştirilmiş bir açık endüstri standardıdır. LDAP 


dizinindeki bilgiyi güncellemek ve erişilebilir kılmak için standart bir metot sunar. 


LDAP tüm kullanıcılarının en hızlı şekilde ve sürekli olarak bilgiye ulaşmalarını 
sağlayabilmek için, hızlı, ölçeklenebilir ve yönetilebilir bir ağ altyapısı kurmak için ön ucu 
olarak oluşturulmuştur. Bilgisayarların yoğun olarak kullanıldığı ağ üzerindeki IP (Internet 
Protocol) adres ayarlarının otomatik olarak gerçekleştirilebilmesi amacıyla LDAP (Light 
Weight Directory Access Protocol) kayıtlarını kullanan bir otomatik IP atama sistemi 


kullanılır. 
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LDAP üç kategori içinde tanımlanabilecek 9 temel protokol operasyonuna sahiptir: 
#&i Sorgulama Operasyonları: arama ve karşılaştırma (search, compare) 


& Güncelleme Operasyonları: ekleme, silme, güncelleme, yeniden isimlendirme 


(add,delete, modify, modify DN (rename)) 


# Kimlik doğrulama (authentication) ve kontrol operasyonları: bağlanma, bağlantıyı 
kesme ve bağlantı iptali (bind, unbind, abandon.) 


Dizin servisi - Directory servis 


Bir dizin genellikle okuma ve arama amaçları için her bir nesne hakkında ayrıntılı bilgi 
verecek şekilde düzenlenmiş nesnelerin bilgi listesidir, buna bir tür veri tabanı da denebilir. 
Bir şirketteki bütün yazıcıların, çalışanların, demirbaşların bilgileri bir dizin içinde tutulur. 


Dizin örnekleri: 


Adres Defterleri 
Domain Name System 
Sözlük Sunucuları 
Sarı Sayfalar 

Telefon Defteri 

Vs 


|“ -E - - 


Sarı sayfalarda nesneler kişi: alfabetik sırada listelenen isimler ve her kişinin ayrıntılı adres 
ve telefon numaraları bilgisini verir. Kütüphane kartı kataloğunda ise kitaplar, yazar ya da 
Unvana ve kitabın ISBN numarası gibi yayın evi bilgisini verecek şekilde sıraya 


sokulmuştur. 


Bir kurumda çalışan veya bir üniversitede okuyan öğrencilere çeşitli servisler sunulması 
gerekir. Bunun için her servisin üzerinde çalıştığı makinada ayrı ayrı kullanıcı hesapları 
açılması gerekebilir. Böyle olunca sistemin ve kullanıcıların yönetimi zorlaşır. LDAP 
kullanarak bu zorluk giderilebilir. Örneğin kuruma yeni giren personel için LDAP 


sunucusuna tek bir entry eklenir ve LDAP desteği veren servislerin bu sunucu üzerinden 
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kullanıcı bilgilerine erişim ve doğrulama yapmaları sağlanabilir. LDAP, Bir dizini 
kullanmakta rehberlik edecek dört model içerir: 


# Bir dizin içine verinin nasıl ekleneceğini tanımlayan bilgi modeli (information model) 
& Dizin içinde bulunan verinin nasıl referanslandırılacağını ve düzenleneceğini 
belirleyen adlandırma modeli (naming model) 
& Dizin verisi ile ne yapılacağını belirleyen işlevsel model (functional model) 
#i Dizin verilerini yetkisiz kullanıcılardan koruyacak güvenlik modeli (security model) 
nitelikler - Attribute'ler 


Sahip olduğu alanlar: 


Name : tekil, büyük-küçük harf duyarlı değil 

Object Identifier (OD) : Aralarında nokta olan sayılar dizisi 
Attribute Syntax : 

Saklanabilecek veri nitelikleri 

Kontrol ve Karşılaştırmalar nasıl yapılacak 

Tekil Değer(Single Value) veya Çoklu Değer(Multiple Value) 


LDAP'ta kullanılan bazı nitelikler (attributes) 


e uid-- user id 

e cn— common name 

e sn -- surname 

e | -- İocatlon 

e ou -- organisatlonal unit 
e o -- organisatlon 

e dc -- domain component 
e sit -- state 

e c -- countıry 
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8.2 LDAP Dizin yapısı 


LDAP dizinleme sisteminde her kayda ait nitelikler (attributes) ve bu niteliklerin değerleri 


(values) vardır. Her kaydın ait olduğu bir nesne sınıfı (object class) vardır. 


Bu yapı sayesinde dünya üzerindeki her LDAP kaydı özgün olur. Bunun için dns de olduğu 
gibi hiyerarşik bir isimlendirme kullanılmıştır. Kullanıcı bu özgünlüğünü DN (Distinguished 


Name) özelliğinden alır. 


Çalışma Yöntemi 
LDAP'ta bilgiler DIT denen hiyerarşik bir ağaç şeklindeki yapıda tutulmaktadır. LDAP 


dizininde "directory root" olmasına rağmen kullanılmaz. 


Bu ağaç tıpkı DNS sistemindeki ağaç yapısına yada SNMP'deki MIB yapısına benzer. DIT' 
deki her bir entry, entry'i açıklayan bir ve/veya daha fazla "attribute" içerir ve her bir 
attribute bir "type" ve "value" içermektedir. Directory entry'si bazı nesneleri tanımlar ve 


enitryde kullanılabilecek attribute'ları belirler. 


Ağacın en tepesinde ülke kayıtları, bunların altında devletler ve ulusal organizasyonlar, 
bunların altında ise insanlar, organizasyon birimleri, yazıcılar, dokümanlar, ya da envantere 
girebilecek her şey gösterilir. Şart olmamakla birlikte genellikle ağaç yapısının tepe noktası 


yani kök 'o' (organization)'dur. Daha altında genellikle 'ou' (organizational unit)'ler bulunur. 


Her organizasyonun altında çeşitli 'cn' (common name)'ler bulunur. Bir ou'nun altına başka 


bir ou konabilir. 
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Hiyerarşik Ağaç Yapısı 


eliSi 
em li i 


c-US 


oc orga 
o-IBM 


- Tüm kayıtların özellikleri (ve değerleri) vardır 


- Nesne class'ı (oc) tüm kayıtlarda bir özelliktir 


- Özellikler zorunlu ve seçimlik olarak gruplanmıştır 


RDN: cnzTim Hahn 


—— DN: cnzTim Hahn, ozIBM, 
czUS 


LDAP de tek bir kök (root) yoktur, birden fazla olabilir. LDAP da her kayıt (entry) veri 
içerebileceği gibi kendisi de veri barındıran(container) olabilir. LDAP Yapısı Linux Dosya 


Sistemine benzer. Kayıtlar niteliklerin (attribute) bir araya gelmesi ile oluşur. 


Ayrıca, LDAP object class denen özel bir attribute'u kullandırarak bir kayıttaki hangi 
niteliklerin gerekli ve müsaadeli olduğunu kontrol etmemize olanak sağlar. Object class 
bilgileri gruplamak için kullanılır. Object class özelliğinin aldığı değerler kayıtta 
belirtilebilecek nitelikleri belirler. 


DN herhangi bir kaydın dizin ağacındaki özgün yerini belirleyen ifadedir, RDN ise dizindeki 
belirli bir kesimden başlayarak alınan dn' dir. 
Örneğin resimde RDN cnzTim Hahn ve DN ise cnzlim Hahn,ozIBM,c2zUS dir 
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LDAP dizinlerde aşağıdaki işlemlerin yapılmasına izin verir: 


Kullanıcının girdiği kritere göre arama yapma (search) 
Bir girdi(entry) ekleme (add) 
Bir entry silme (delete) 


Bir girdiyi değiştirme (modify) 


Ce ccc 


Distinguished name (DN)** 'i yada RDN(Relative Distinguished Name) in 
dizindeki yerini değiştirme (modifydn) 


ig İki entry'i karşılaştırma (compare) 


LDAP'ta bind operasyonu bir yetkilendirme operasyonu olarak düşünülmelidir. Bu 


yetkilendirme işlemi dağıtık uygulamalar tarafından kullanılabilir. 


LDAP'ta yetkilendirme operasyonu LDAP sunucusuna kimlerin ekleme / değişiklik yapma / 
arama yapma / karşılaştırma yapma ya da silme isteklerinde bulunduklarını göstermek için 


kullanılır. 


Standart olarak depolanan LDAP verilerinin tutulduğu servis ayarlarında; servisin verildiği 
ağ ayarları, yetkili kullanıcı bilgisi, uygulama ayarlama parametreleri, kullanıcı ve sunucu 
sertifikaları ile erişim kontrol listeleri (ACL) yer almaktadır. ACL'ler dizinin farklı kısımlarına 
erişim kısıtlaması koymak için kullanılır. Erişim kontrolü bireysel kullanıcılar ya da gruplar 
için kullanılabilir. Bir erişim kontrol listesi hangi kayıtlara ve / veya hangi niteliklere kim 


tarafından okuma, değiştirme yapılacağı müsaadesini verir. 


LDAP, LDAP sunucusu ile LDAP kullanıcı arasındaki mesaj alış verişlerinde mesajların 
kapsamını belirler. 

Mesajlar istemci tarafından sunucudan talep edilen arama, değiştirme ve silme 
operasyonlarını ve mesajlarda taşınan verinin formatını belirtir. LDAP mesajları TCPIP 


üzerinden taşınır. 
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8.3 z7 OS da LDAP Sunucuları (IS LDAP * ITDS) 


z/OS LDAP protokolü iki farklı çeşitlilik sunar. Entegre edilmiş Güvenlik Sunucusu LDAP 
zZOS 1.6 da stabilize edilmiştir. Diğeri ise IBM Tivoli Dizin Sunucusu /OS 1.8 de 
tanıtılmıştır. Eski LDAP sunucusunu seçmenin tek nedeni IODF ya da RMF 'in LDAP da 
tutulmasıdır. Eğer I(ODF ya da RMF LDAP'ta tutulmuyorsa eski LDAP sunucusunu seçmek 
gerekmez. Her iki yeni LDAP sunucuları da istemci / sunucu modeline dayalı olarak 
istemciyi bir LDAP sunucusuna eriştirerek çalışırlar. Bir LDAP dizini merkez lokasyondaki 


bilgiyi bellek, güncelleme, geri alma ve değiştirmek için kolay bir yol sağlar. 


LDAP backend'i istekleri bir diğer sunucuya yönlendirir, böylece LDAP proxy olarak görev 
yapar. 2//OS da LDAP sunucusu RACF'den ayrı bir started task olarak çalışır. 


İ Oniy in 
1S LDAP 


Mi —7 İ | TCPMP | | slapd 
p Z- ime damon kl 


: LDAP V3 
Basic auth 


SSUTLS 
Kerberos 
CRAM-MDS5 
Digest-MDS 


OMVS /TSO Applications 
Idapsearch 

Idapmodify 

Idapdelete 

Idapmodrdn 

Idapcompare 
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Yar LDAP Sunucusu birçok backend'e sahiptir (data stores) 
iğ LDBM: Genel amaçlı dizin (sadece ITDS *de) 
Net Değiştirilebilir şema, veri HFS ya da zFS de tutulur. Tam 
ölçeklenebilme, tam LDAP V3 desteği. Byte File System backend (LDBM) : 
LDBM backendi LDAP verisini BFS'teki bir dizinde tutar. 


* IBM Tivoli Directory Server for 7/0S (ITDS) : ITDS for /OS (IBM TDS) bir LDAP 
sunucusuna istemci erişimini sağlar. LDAP sunucusu, LDAP istemcisi ve LDAP istemci 


olanaklarını içerir. Z/OS temel bileşenleriyle birlikte gelir. 


» İDBM: Genel amaçlı dizin 
* Değiştirilebilir şema, veri DB2 veri tabanında tutulur. Tam 
ölçeklenebilme, tam LDAP V3 desteği 
» SDBM (Secure Database Manager ) : RACF kullanıcıları, gruplarıve kullanıcı 
grup bağlantıları 


* Fixedşema, veri RACF veri tabanında tutulur. 


SDBM backend RACF'i yardımcı bellek olarak kullanır. SDBM tarafından sunulan bütün 


veri RACF veri tabanından gelir. SDBM backend 'indeki veri RACF LDAP şeması 
kullanılarak düzenlenmektedir. 


» HCD:IODF (HCD) tanımları (sadece * |IS LDAP'ında) 


" Fixedşema, veri |(ODF'te tutulur. 


» RMF: RMFİİl ile toplanan metrikler (sadece IIS LDAP'ında) 


" Fixedşema, veri DDS sunucusu tarafından elde edilir ve saklanır 


*İnternet Information Services (IIS ) 


Web sayfalarının yayınlanmasını ve web uygulamalarının çalışmasını sağlayan, 
istemcilerden HTTP ve FTP üzerinden gelen talepleri Microsoft Windows sunucu tabanlı 
işletim sistemlerinde karşılayan birim Internet Information Services (IIS )'dir. IIS, OSI 
katmanının bir üstünde yer alarak herhangi bir bilgisayar ile bir Windows bilgisayar 
arasında oturumsuz bir protokol sağlar. 
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zZOS LDAP sunucusunda işletim sistemine gerekli dosyaların üretilmesi için bir 
konfigürasyon utility'si bulunur. Z/OS LDAP sunucusu için bir konfigürasyon oluşturmaya 
yarayacak utility dsconfig'dir. Aşağıdaki örnek 7/OS LDAP konfigürasyon dosyasında 
LDBM ve SDBM backend'leri konfigür edilmiş, TDBM backendi konfigür edilmemiştir ve 
LDAPSRV started task ismiyle çalıştırılmıştır. 


Örnek :dsconfig konfigürasyon dosyasından bir parça. Konfigürasyon dosyası: ds.config 


# KEKKKİEKKİKEKKEKEKKEKEKKKKKKEKEKKEKEKKEKEKKEKKKKEKKKKKKKKKKKAKKKAKkAKAkİkkkkk 


# This is the main input file for the configuration utility for the LDAP 

# server. Refer to publication: IBM Tivoli Directory Server Administration and Use for /OS 
pp eee ekeeeeeiekeeeeeikeekek 

# ADMINDN <distinguished name> 

ADMINDN — "cn<Admin,dczitso,dczibm,dczxcom" 


#ADMINPW <password> 
ADMINPW — secret 


# LDBM SUFFIX <suffix> 

LDBM SUFFIX — 'ouzpoughkeepsie L,dczitso,dczibm,dezcom" 
#LDBM DATABASEDIRECTORY <directory> 

LDBM DATABASEDIRECTORY > /var/Idap/ldom 


# SDBM SUFFIX <suffix> 
SDBM SUFFIX — "ou-poughkeepsie S,dez-itso,dc-ibm,de-com" 


#TDBM SUFFIX <suffix> 
TDBM SUFFIX — 


# SCHEMAPATH <directory> 
SCHEMAPATH - /var/Idap/schema 


# PROG SUFFIX <suffix> 
PROG SUFFIX - LO 


# LDAPUSRID <user id> 
LDAPUSRID - LDAPSRV 
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# OUTPUT DATASET <data set name> 
OUTPUT DATASET — VIC.GLD.CNFOUT 


ği Ç ye 


—.- -—— 


WebSphere 
Application 
Server 


i Login Module 


a YRD deği —..... 


( 


“-ğ—.——” 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 322/525 


8.4 ITDS LDAP sunucusunun kapasiteleri 


Çok katlı eşzamanlı veri tabanı nesneleri (arka uçlar) 
Güçlü genel-amaçlı veri tabanı (DB2 ya da USS) 
RACE kullanıcısına, grubuna erişim ve veriye bağlanma (SDBM) 
Veri yükleme ve boşaltma (TDBM, LDBM) 

Erişim kontrolü 

Çoklu — iş parçacıkları 

Çok katlı eşzamanlı sunucular (TDBM, LDBM, GDBM) 
Replikasyon 

Yönlendirmeler 

alias'lar 

GDBM de TDBM ve LDBM için loglamayı değiştirmek 
Basitleştirilmiş konfigürasyon 

Korumalı iletişim 

Dinamik iş yükü yönetimi 

Polisi Dizin verisini almak 

Yerel doğrulama 

LDAP sürüm 3 desteği 

Dinamik şema 

UTF-8 desteği 

Sertifika ile Basit Güvenlik Doğrulama Katmanı (SASL)na bağlanma 
SSL/TLS, 

GSS API Kerberos, CRAM-MD5, DIGEST-MD5 

Root DSE 

Büyütülmüş root üyeliğini araştırma 

Pek çok sunucu kontrol protokollerini destekleme 
nitelik şifreleme 

Çok katlı soket port'ları 

Kalıcı araştırma 


ipm-entryuuid özelliği 


| < “İNE - EE SE SR SEE O SR SE SO SO Sİ DR SO Sİ SR Sİ Sİ Sİ SR O RS SR 


ibm-allMembers ve ibm-allGroups 
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8.5 Konfigürasyon rolleri ve sorumluluklar 


Konfigürasyonda, IIS LDAP için Idapcnf ve ITDS LDAP sunucusu için dsconfig kullanılır. 


ı (if SDBM is being System 
nfigured) i 


MERMER ŞE ŞAM EŞE SE EEE 
LDAP : 
Administrator ! 


Idap.slapd. profile/ 


Lİ 
ı ,! 
ı DE 
ı Li i 
ı Lİ ; 
ds.slapd. profile f ii PROC 
! / ği e (LDAPUSRID) 
e 
y> 


a Ey ea Me 


ı 
Database | 


Konfigürasyon utility'si job'lardan ve konfigürasyon dosyalarından ibarettir. Bu job'lar, her 
bir yöneticinin kendi bileşenini update ettiği tipik yönetim rollerine dayalı z/OS 
update'lerinden ayrı tutulurlar. Bir LDAP sunucusunu konfigür ederken ortaya çıkan tipik 
yönetimsel roller : 

& Sistem yöneticisi (ya da Sistem Programcısı) 

& Veri tabanı Yöneticisi 

& DAP Yöneticisi 


& Güvenlik Yöneticisi 


Her yönetici girdi dosyalarının güncelleştirilmesinden kendisi sorumludur, ayrıca submit 
edilen job'ların çıktılarını incelemek ve kendi bileşenleri için LDAP konfigürasyon hizmetini 


yerine getirmekten sorumludur. 
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8.6 LDAP şema 


Şema, dizinde tutulan veriyi kontrol etme yollarını belirleyen kurallar setidir. Şema izin 


verilen kayıtların tipini, nitelik yapılarını ve niteliklerin yazım kurallarını tanımlar, 


> "root" 
Nesne Class'ları tanımları 


czUS ,— m Ya ” 

ii ..) SEM objectclass person 

ZUS 

m reguires : cn 
objectClass 

o-1BMC > (C ozlotus KC —ozTivoli allows: mail 


oc-organizaton 7 
ozlBM 
objeciclass organization 


—— 


cn-Tim in” Schema reguires: o 


objectClass 
allows: description 


businessCategory 
maizhahntgpus. bim.com e 


RDN: cn <Tim Hahn 


DN: cn<Tim Hahn, o -IBM, czUS ni . 
im iğ i Özellik tipleri tanımları 


objectClass oc cis 128 normal 
commonName cn cis 128 normal 
organizationName O cis o128 normal 


Veri dizin kayıtları kullanılarak dizinlerde tutulur. Bir kayıt bir nesne klası ve onun 
niteliklerinden ibarettir. nitelikler ya gereklidir ya da seçimliktir. Nesne klâsı içerdiği nitelikler 
kümesini tanımlar. 


Şema nitelik tipleri: 


© Nesne Class'ları 

© nitelik Tipleri 

© IBM nitelik Tipleri 

© Eşleşme kuralları 

© LDAP yazım kuralları 
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Şema nitelik tipleri 


Dizindeki kayıtlar bir ya da daha fazla nitelik değerleri ve nitelik tipini (attributetypes) 
bulunduran niteliklerden meydana gelir. Bunlar nitelik — değer çiftleri olarak adlandırılırlar. 
Her kayıt, kayıdın içerdiği bilgilerin ne tipte olduğunu belirleyen bir ya da daha fazla 
nesneClass niteliği — değer çiftlerini tutar. Aşağıdaki örnekte bir şema kayıt parçası 
gösterilmektedir. 


Örnek: 


cn-SCHEMA, o-Your Company, c-US subtreespecification-NULL 


objectclass-TOP objectclass-SUBSCHEMA 


objectclass-SUBENTRY objectclass-IBMSUBSCHEMA 


attributetypes- ( 2.5.4.3 NAME ( 'cn' 'commonName' ) SUP name ) 


bedi ri bus po - ( 2.5.4.3 ACCESS-CLASS normal ) 

öbiseelasies - ( 2.5.6.0 NAME 'top' ABSTRACT MUST objectclass ) 

m - ( 1.3.6.1.4.1.1466.115.121.1.15 DESC directory string” ) 
iatehiagriies z ( 2 EBS NAME 'caseExactMatch” SYNTAX 


1.3.6.1.4.1.1466.115.121.1.15 ) 
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8.7/ RACF ile LDAP Kimlik Doğrulaması 


RACEF kullanıcı ve grupları tanımlamanın yanı sıra, kaynaklar için de erişim kontrolü sağlar. 
LDAP sunucusu RACF de tutulan kullanıcı ve grup bilgisine LDAP üzerinden erişim 


sağlayabilir. 


v Enter userid : auster 
; /) 
Kr 


dn-"racfid—-auster,profiletype-user,o-IBM” 
pw-<password> 
idap bind sf(ld,host,port,dn,pw) 


zOS 
LDAP Server 
SDBM 


dn: racfid-auster,profiletype-user,o-IBM 


objectclass—-racfUser 

objectclass—-racfBaseCommon 

objectclass—-racfBaseUserSegment RACE userld 

racfid-AUSTER —— RACE DB 
raciprogrammemame-—James Auster 
racfdefaultgroup—racfid—groupid,profiletype-GROUP ,sysplex—... 


LDAP sunucusunun arka ucunun RACF veri tabanı olduğu durumda, yani SDBM 
kullanılarak şunlar yapılabilir: 

RACF'e yeni kullanıcı ve gruplar eklenir 

Gruplara kullanıcılar (bağlantılar) eklenir 

Grup ve kullanıcıların RACE bilgileri değiştirilebilir 

Grup ve kullanıcıların RACF bilgileri görülebilir 


RACF'ten grup ve kullanıcılar silinebilir 


oo CC CoC 


Gruptan kullanıcı çıkarılabilir 

LDAP sunucusunun SDBM veri tabanı RACF komutlarının kullanıcı tanımlama, grup 
tanımlama, kullanıcı tanımında değişiklik yapma, grup tanımında değişiklik yapma, 
kullanıcı silme, kullanıcı listeleme, grup listeleme, kullanıcıyı gruba alma, gruptan çıkarma 
ve arama yapma komutlarının aynısını yerine getirir. Tek bir kullanıcının sahip olduğu 


normal RACF komut yetkisinin aynısı SDBM'de de geçerlidir. 
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SDBM veri tabanı RACF kullanıcı kimliğini ve parolasını kullanarak dizin kimlik 
doğrulaması (veya bind yapılmasına) yapılmasına izin verir. Bunun için RACF kullanıcı ID 
sinin ayrıca bir OMVS UID sine de sahip olması ve ayrıca bu kullanıcının RACF'te bir 
OMVS segmentinin tanımlı olması gerekir. RACF erişimi kullanıldığı zaman ne gibi 


işlemlerin olduğunu anlamak için aşağıdaki işlem adımlarına bir göz atalım: 


&# Bir LDAP bir /OS LDAP sunucusuna RACF erişim desteğini kullanarak bağlanır 
fakat non-RACF güvenlik yöneticisinin bağlanmayı başarması, LDAP sunucusu 


tarafından yapılan başarılı şifre aramasından daha uzun süreli olur. 


# Bir LDAP bir /OS LDAP sunucusuna RACF erişim desteğini kullanarak kolayca 
bağlanarak başarılı ya da başarısız LDAP return kodu elde eder. Ayrıca, eğer LDAP 
return kodu LDAP INVALID CREDENTALS olarak döndüyse, LDAP 'ın mesaj 
kısmında ilave bilgi hazır olur. İlave bilgi formatı aşağıdaki gibi olan LDAP'a özgün 


reason kodu ve reason kod metnidir : 


Rnnnnnn text 


Eğer SDBM veri tabanı sadece doğrulama amaçlı kullanılacaksa, o zaman bind işlemini 


kolaylaştırmak için authenticateOnly sunucu kontrolünün kullanılması düşünülmelidir. 


AuthenticateOnly : Bu kontrol bir LDAP istemcisinin bind isteği, bir LDAP sunucusuna 
gönderildiği zaman geçerlidir. Bind isteğinde bu kontrolün bulunması alternate DN'e 
bakılmasını, büyük gruplarda arama yapılmasını ve varsayılan grup üyeliği toplanmasını 
ortadan kaldırır ve LDAP sunucusunun sadece doğruluğu kanıtlanmış istemcilerle DN 
bağlantısı yapmasını sağlar. Bütün grup bilgisinin tamamını toplamasına gerek kalmaz. 
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8.8 z7/0OS LDAP Sunucusu Yerel Kimlik Doğrulaması 


ye RACF'te kimlik doğrulaması yapmanın dezavantajları: SDBM arka ucu 
gereklidir 
iz Nonstandard Distinguished Name (racfid, profiletype) 
iz Sabit şema: sadece RACF bilgisi mevcuttur, nitelik isimleri 
değiştirilemez 
iz Standart Distinguished Name (cn, ou, o); adapte edilmiş olabilir 
ig Yerel Kimlik Doğrulaması LDBM ya da TDBM arka ucu kullanır 
hz Standart Distinguished Name (cn, ou, o); adapte edilmiş olabilir 
iz Şahıs kaydı için LDAP V3 tarafından desteklenen herhangi bir 
şema kullanılabilir. Şema tarafından desteklenen herhangi bir bilgi 
getirilebilir 
iz Kimlik doğrulama (parola doğrulama) RACE tarafından yerine getirilir. 
Birden çok kayıtların yönetilmesine, parolaların senkronizasyona, ihtiyaç 
yoktur 
iz RACF kullanıcıları ve non-RACF kullanıcıları aynı LDAP 


dizinindedirler 


LDAP, LDBM ya da TDBM arka ucuna kolayca bağlantı yapıp Güvenlik Sunucusuna şifre 
vererek, LDBM ya da TDBM üzerinden Güvenlik Sunucusuna kimlik doğrulaması yapma 
yeteneğine sahiptir. Kimlik doğrulama bilgisi hali hazırda bağlanma işlemini gerçekleştiren 
DN'e bağlı olarak LDAP sunucusu tarafından toplanmaktadır. ID ve parola Güvenlik 


Sunucusuna geçer ve parolanın doğrulanması Güvenlik Sunucusu tarafından yapılır. 


Doğal kimlik doğrulamanın bir diğer özelliği ise bir LDAP değiştirme komutu vererek 


Güvenlik Sunucusunun parolasının değiştirilebilmesidir. 
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8.9 LDAP yerel kimlik doğrulamasını kullanmak 


”w Enter userid : auster 
z . Enter password | sasameze 


dn-“cn-James Auster,ou-TMCC,0-1BM” 
pw-<password> 
Idap bind s(Id,host,port,dn,pw) 


find entry, compare password 


dn: cn-James Auster,ou-TMCC,o-1BM 


objectelass: person 
objectelass: inetOrgPerson RACE userid 
objectclass: ibm-nativeAuthentication e 
cn: James Auster 

In LDBM or sn: Auster 

TDBM directory | ibm-nativeld: AUSTER 


Di 


Yerel kimlik doğrulamayı başlatmak 


Yerel kimlik doğrulamasını açmak için, aşağıdaki adımların yapılması gerekir: 


i. 


22 


RACF ya da bir başka Güvenlik Sunucusu kurulmalı ve düzenlenmelidir. 

LDBM ya da TDBM'i çalıştırmak için bir LDAP sunucusu konfigür edilmeli ve sunucu 
başlatılmalıdır. . Konfigürasyon dosyasında yerel doğrulama seçenekleri 
belirtilmelidir. Örneğin: 

TDBM Section 

useNativeAuth SELECTED 

nativeAuthSubtree o-IBM,c-US 

nativeAuthSubtree o-Lotus,cxUS 

nativeUpdateAllowed YES 


Şema elemanları ile ilgili yerel doğrulama TDBM arka ucuna yüklenmelidir. 
Değer olarak uygun Güvenlik Sunucu ID'li ya tekil — değerli uid veya ibm — nativeld 


içeren kayıtların yerel doğrulamayı işlediğinden emin olunmalıdır. 
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8.10 LDAP yerel doğrulamaya örnek 


ECP USER1 USERS 
USERSA USER6 


ou-END,0o-1BM,c-US ou-POK,o-1BM,c-US ou-TOR,o-1BM,c-US 


cn-Üser1,ou-END,o-1BM,c-US cn-User4 ou-POK ,o-1BM,c-US e 
ibm-nativeld-USER1 vid-USERS 


cn-User5,ou-POK o-1BM,c-US 
uid-USER5 
uid-USERSA 


cn-Üser2 ou-END o-I1BM,c-US 
userpassword-pW2 


cn-User3,ou-END ,0-1BM,c-US 
ibm-nativeld-USER3 
Userpassword-pW3 


Örnek: 

Aşağıdaki gibi bir düzenlemenin yapıldığı varsayılsın: 
useNativeAuth selected 

nativeUpdateAllowed yes 

nativeAuthSubtree ou-<END,o-IBM,c-US 
nativeAuthSubtree ou-POK,o-IBM,c-US 


Burada OU -—- organisational unit o — organisation c — countıy dir. 
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8.11 LDAP sunucusunu z/OS de çalıştırmak 


ZJOS 


Basic auth 
SSLU/TLS 
Kerberos 
CRAM-MDS 
Digest-MDS5 


USS 


OMVS /TSO Applications 
Idapsearch 

Idapmodify 

idapdelete 

Idapmodrdn 

Idapcompare 


LDAP sunucusu açılış işlemi sırasında bir dizi dinamik yükleme kütüphanelerini (DLL'leri) 
bulmaya çalışır ve yükler. LDAP sunucusu için gerekli bütün DLL'ler ürünle birlikte sadece 
PDSE formatında gönderilmiştir. Bu DLL'lerin sırası, çalışma anında LDAP sunucusu 
tarafından düzene sokulur, bu DLL'lerin bulunduğu PDS (SYS1.SIEALNKE) ya eğer LDAP 
sunucusu JCL den başlatılıyorsa JCL'in STEPLIB DD adımında verilen LINKLIST de 
(kuruluşta varsayılan yerdir) ya da eğer LDAP sunucusu z/OS UNIX Sistem Servislerinden 


başlatılıyorsa komut prompt'da yer alır. 


LDAP sunucusu aynı zamanda SCEERUN ve SCEERUN2 de belirtilen dataset'leri de 
kullanır. Bu dataset'lerde LINKLIST'e konmalı, eğer buraya konamıyorsa STEPLIB'e 


konmalıdır. 


LDAP sunucusunu started task olarak çalıştırmak ve ayarlamak 


LDAP sunucusunu bir started task olarak çalıştırmak için, LDAP sunucusu için bir started 


task tanımlanmalı ve sonra JCL kullanılarak LDAP sunucusu çalıştırılmalıdır. 
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LDAP sunucusu için started task tanımlamak 


LDAPSRV kullanıcı |ID'si oluşturulduktan sonra, LDAPSRV isimli bir started task 


tanımlanmalıdır. Bu işlemleri yapmak için aşağıdaki RACF komutları kullanılır: 


RDEFINE STARTED DSSRV.* STDATA(USER(LDAPSRV)) 
SETROPTS RACLIST(STARTED) REFRESH 


Örnek JCL kullanarak LDAP sunucusunu çalıştırmak 

LDAP sunucusunu bir started task olarak çalıştırmak için gerekli JCL bir prosedür olarak 
ürünle birlikte gelmektedir. Bu JCL, LDAP sunucusunun kurulduğu sistemde 
GLDHLO.SGLDSAMP kütüphanesinde bulunabilir. Eğer ServerPack kuruluşundan 
yapılıyorsa, GLDHLO GLD olacaktır. Bu JCL prosedürü SDSF de ya da konsoldan 
başlatılabilir. LDAP sunucusunu SDSRF te çalıştırmak için, 

/s dssrv 

girilir. 

LDAP sunucusunu konsoldan çalıştırmak için 

s dssrv 


girilir. 
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9.0 KERBEROS - Ağ Kimlik Doğrulama Hizmeti 


Yunan mitolojisindeki Kerberos adlı bekçi köpeğinin üç farklı başı Kerberos protokolünün 
üç farklı alt yapısını simgeler: 


& Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC) 
& Kullanıcı ve hesabı 
& İstenilen servisi sağlayan sunucu 


z OS da bu bileşenin resmi adı 7/OS için Bütünleştirilmiş Güvenlik Servisleri Network 
Doğrulama Servisi - Integrated Security Services Network Authentication Service for 
z/ OS'dur, fakat bundan böyle bu hizmetten z/OS için Network Doğrulaması olarak 
bahsedilecektir. GSS-API'ları SPKM-3/LIPKEY mekanizmalarını desteklemektedir. 


Kerberosu tanıtma 


&i Kerberos TCP/IP yapısının yeterince güvenli bulunmaması sonucu MIT tarafından 
geliştirilen bir ağ kimlik denetleme protokolüdür. 


& Şuanda V5 kullanılmaktadır. 


e 


Kullanılan yöntemler genellikle kullanıcıları kısıtlama yönündedir. 
& fiziksel olarak açık bir ağ üzerinde şifre taşınması yapılmadan kullanıcı 


yetkilendirmesine izin verir. 


& Kerberos açık bir ağda güvenli kimlik denetimini sağlamak için şifreleme 
teknolojisini ve hakem olarak üçüncü bir tarafı, anahtar dağıtım merkezini kullanır 
(KDC — Key Distribution Center). 


& KDC iki kısımdan oluşur; Doğrulama Sunucusu - Authentication Server (AS) ve Bilet 
Sağlayan Sunucu - Ticket Granting Server. Kerberos kullanıcıların kimliklerini 
doğrulamak için bilet (ticket) kullanır. 


& KDC networkdeki her bir istemci yada sunucu için gizli anahtarları tutan bir veri 
tabanına sahiptir. 


# Bu gizli anahtarlar sadece KDC ve ait olduğu istemci tarafından bilinir. 
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© Biletler bir Kerberos yetkilendirme sunucu tarafından yayımlanır: Hem kullanıcılar 
hem de sunucular için gerekli olan anahtarlar yetkilendirilmiş üçüncü bir sunucuya 


kayıt edilmiş olmalıdır. 
© Sadece kimlik kanıtlamada değil, güvenli veri alış verişi yapılmasını sağlamada da 
kullanılır. 


© Kimlik kanıtlaması ağda hiç düz metin iletilmeden gerçekleştirilir. 


Kerberos, istemcilerin kimlik kanıtlamaları için, paylaşılan bir sırrı ve güvenilen bir hakemi 
kullanır. Güvenilen hakem Anahtar Dağıtım Merkezi (KDC) olarak bilinen sunucudur. 
Paylaşılan sır kullanıcının kriptografik anahtara dönüştürülmüş parolasıdır. Sunucular ve 


yazılım sistemleri için rasgele anahtarlar üretilir. 


9.1 Kerberos terminolojisi 


R ticketserv 
I 


R usermap 


realm: Kerberos domaini. 
principal: Kerberos domain'indeki istemci ya da uygulama sunucusu. 
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instance: nesne 
Kerberos adı: principal name.instance(drealm 
Kerberos bileti: bilet sadece Kerberos KDC ve uç sunucunun bildiği bir anahtar altında 
şifrelenir. Bilette şu kayıtlar bulunur: 
& İstemcinin kimlik bilgileri 
dinamik olarak oluşturulmuş oturum anahtarı 
bir zaman damgası ( a time stamp) 


biletin kullanım süresi 


oeoce 


servis adı 


Authenticator: istemci adı, IP adresi ve zaman damgası. Her bir istemcinin isteğini 
yayınlar. Bilet kullanım süresince tekrar kullanılabilir. Authenticator replay attack'e karşı 
korumalı olması için her istek için farklı olmalıdır. KDC Anahtar Dağıtım Merkezi, Active 
Directory Domain Kontrolörünün bir parçası olarak kurulur ve temel olarak iki farklı görevi 


vardır: 
# Kimlik doğrulama hizmeti (Authentication Service) 


& Bilet Sağlama Hizmeti (Ticket-Granting Service) 


Bir kullanıcı ilk kez bir hizmet almak istediğinde sırasıyla 


#w Kimlik doğrulama hizmeti takası 
# Bilet sağlama hizmeti takası 
&i Kullanıcı/Sunucu takası 


aşamalarından geçmelidir. Kerberos V5 protokolü, hem kimlik doğrulaması istenen 
kullanıcının hem de kimlik doğrulaması için istekte bulunan sunucunun kimliğini doğrular. 
Bu ikili doğrulama karşılıklı kimlik doğrulaması olarak bilinir. Parola veya akıllı kart kimlik 
bilgileri girme dışında, kimlik doğrulama işleminin hiç bir kısmı kullanıcı tarafından 


görülmez. 


Kerberos V5'in önemli hizmetlerinden biri de Anahtar Dağıtım Merkezi (KDC) hizmetidir. 
KDC, her etki alanı denetleyicisinde, tüm istemci parolalarının ve diğer hesap bilgilerinin 


depolandığı Active Directory dizin hizmetinin bir parçası olarak çalışır. 
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9.2 Kerberos protokolüne bakış 

Kerberos sistemi üç bileşenden oluşur: istemci, sunucu ve Anahtar dağıtım Merkezi (KDC) 
olarak bilinen üçüncü bir hakem sunucu. KDC istemcinin isteğini kabul etmek, kimliğini 
doğrulamak ve buna bir bilet vermek için istemci ve sunucunun her ikisiyle de 


etkileşimdedir. 


Kerberos domain'indeki istemci ya da uygulama sunucusunun ismi, Kerberos yöneticisi 
tarafından tüm istemci ve sunucular için özgün olacak şekilde atanır. Bütün Kerberos 
domainindeki istemci ya da uygulama sunucularının isimleri KDC tarafından bilinmelidir. 
Ağdaki tüm nesnelerin istemci ve sunucuların kendilerine ait gizli simetrik anahtarı vardır. 


Anahtarların hepsi KDC de tutulur. İstemcilerin anahtarları onların parolalarından üretilir. 


Kerberos V5 kimlik doğrulama işlemi aşağıdaki gibi çalışır: 

Her kullanıcının ve her servisin (eposta, print, vs.) bir parolası vardır. Bu parolalar sadece 
yetkili sunucuda tutulur. Bir kullanıcı kimliğini bir sistem veya bir servise kanıtlamak isterse 
KDC'den bir bilet talebinde bulunur. Bilet; istemcinin kimliği, oturum anahtarı, zaman bilgisi 
ve bazı diğer bilgilerden oluşan bir datagramdır. Datagram sunucunun gizli anahtarıyla 


şifrelenir. 


Client N Kerberos Key Distribution Center 
Kerberos Server 


Ticketto server B 


Kerberos KDC Security Realm 


s Uses symmetric algorithm (DES), for authentication and data privacy 

s No password in clear on the network 

s A KDC keeps a copy of DES keys for all entities in the KDC 'Realm' 

s İransitive trust can be established between realms 

s Used by several OS (e.g. AlX, ©6S/400, WIN2K, ...) for network users authentication 
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1. Parolası ya da akıllı kartı olan istemcideki bir kullanıcı, KDC'ye kimlik bilgisini ve 
parolasını bildirir, yani kimlik doğrulaması yaptırmak için KDC'den kimlik denetim 
talebinde bulunur. 

Username, password ile uygulamaya login olma 

2. Kimlik denetim talebi KDC'deki krbökdc artalan sürecine gönderilir. KDC iki önemli 
Kerberos artalan süreci çalıştırır: 
kadmind: Kerberos sunucusunun yönetimle ilgili (sürecidir. kadmind yetkili 
kullanıcıların ve kural yapılandırma veri tabanının korunması için kadmin isimli 
program tarafından kullanılır. 

Krbökdc: Kerberos kimlik denetiminde güvenilen hakem rolünü yerine getirmekle 
yükümlüdür. 

3. krb5kdc süreci bu isteği aldığında istemciyi esas veri tabanından kimlik denetimi 


yaparak kontrol eder. İstemcinin gizli anahtarını bu veri tabanından okur ve ona geri 
göndermek için Bilet Sağlayan Bilet (TGT) adında özel bilet olarak şifreler. 


talep : Kuserftimestamp), "username" "ticket granting server" 


Buradaki Kuser Kerberos KDC sinde KDC'nin de bildiği kullanıcı parolasından o türetilmiştir. 


Kullanıcı parolası ağ 
Üzerinde dolaşmaz 


Ticket to server 


Ticket io server 


1. login to application username,password 
2.reguest: Kuserftimestamp) "username","ticket granting server" 
3. response: Kuser(Ksession1),T GT 


where TGT — Krcs/"username",Ksession1) 


» Kuser is derived from user's password, which is known from the Kerberos KDC 
es Ksessioni is dynamicaliy created by Kerberos 
s»s KTGSs is known only from the Kerberos Server 
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4. İstemci oturum anahtarını içeren şifrelenmiş TGT'yi alır. Eğer istemci parolayı bilir 
(gizli anahtar veri tabanında tutulur) ve başarıyla TGT'nin şifresini çözebilirse bilete 


oturum anahtarını da ekleyip şifreleyerek Bilet Sağlama Servisine (TGS) sunar. 


e Bilet; istemcinin kimliği, oturum anahtarı, zaman bilgisi ve bazı diğer bilgilerden 


oluşan bir datagramdır. 
e Datagram sunucunun gizli anahtarıyla şifrelenir. 
karşılık: KuserfKsession1),TGT 


Ksession1 Kerberos tarafından dinamik olarak oluşturulmuştur 
burada TGT - KTGS/"username" Ksession1) 


KTGS sadece Kerberos Sunucusu tarafından bilinmektedir 
5. TGS istemcinin özel bir sistem veya servisi kullanmasını sağlayacak yeni bir bilet 


yayınlar. 


Kerberos Server 


Ticket Granting 


İl Server 
Authorize Me LL. 2 
io target server 


Ticket to server 


Ticket to server Application 
Targer Server 


4. reguest: Ksession1ftimestamp),ITGTI,"target server" 
5. response: Ksession1(Ksession2,"target server") ticket to server 
where ticket to server — Kserverf"username",Ksession2) 


» Conversation is encrypted with Ksession1 

»s TGS gets Ksession1 from TGT, that it can read 

» Client is getting Ksession2 value 

»s Kserver is known only from target server and Kerberos KDC 
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6. Sadece gizli anahtarı bilen istemcilerin şifresini çözebileceği şifrelenmiş biletler 
sayesinde güvenli kimlik denetimi gerçekleştirilmiş olur. 


Kerberos Server 


Client 


Authentication 
Ticket 


Authorize Me 
to target server 


Ticket to server 


Client Ticket to server İs A, 
Application Targer sid 


6. reguest: Ksession2(timestamp) ticket to server 
7.response: Ksession2(timestamp*t1) 
(optional; only when client specifies mutual authentication) 


s conversation is encrypted with Ksession2 
» Application server gets Ksession2 from ticket to server, that it can read 
s client is authenticated to server 


Not: 

Kerberos kimlik denetimi, kısmen biletlerin zaman bilgisine dayandığı için, Kerberos 
sunucuların saatlerinin dakik olarak ayarlanması çok önemlidir. 

Saldırganların tüm parolaları denedikleri veya tekrarlama atağı yaptıkları durumlarda 
başarısız olmaları için biletlerin yaşam süreleri çok kısa tutulur. Tekrarlama atağı; yetkisiz 
erişim hakkı kazanmak için daha önceden kullanılmış bir biletin sahte gösterilmesidir. 
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9.3 z/0OS sisteminde Kerberos'un kullanımı 


z/OS için ağ kimlik doğrulama hizmeti, DCE (Distributed Computing Environment) gibi orta 
katman bir ürün satın alınmasına gerek kalmadan Kerberos güvenlik hizmetlerini sağlar. 
Bu hizmetler doğal Kerberos uygulama programlama ara yüzü fonksiyonlarını (GSS-API) 
içerir. Ağ Kimlik Doğrulama Hizmeti şifre açmak için dünyada en çok kullanılan şifreleme 
algoritması olan 3 DES (Data Encryption Standard) algoritmasını kullanır. | Kerberos 
kurucuları öncelikle hem kullanıcı hem de sunucunun birbirinin kimliğini kontrol ettiği 


istemci - sunucu modelini amaçladılar. 


Kerberos simetrik anahtarla şifreleme yöntemini kullanır. 


Key 
Distribution 
-Center 


Unix System 


Authentication 
Server 


Ticket 
Granting 
Server 


TCP/IP 
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9.4 RACF'in Kerberos'la entegrasyonu 


Kerberos güvenlik sunucusu iki registry veri tabanı tipini destekler: SAF (RACF) ve NDBM 


(Kerberos kurallarını HFS ya da zFS'in kullanıldığı bir Unix Sistem Servis veri tabanında 


tutar). 


b b EEE 0 CE 


RACF lokal RRSF (RACF Remote Sharing Facility) düğümü olarak kurulmalıdır 
RACE profillerinin tanımlanması 

Lokal Kerberos bölgesi & yabancı bölgelerin tanımlanması 

BÖLGE class'ı 

Lokal Kerberos 

Lokal Kerberos istemcileri (kullanıcılar) 

Kullanıcı profilindeki KERB segmenti 

KERBLINK class profilleri 


Lokal kimlik ile yabancı Kerberos esaslarının tanıtılması 


lokal yöntemde RRSF'in tanımlanması 


1. Eğer henüz aktif değilse RACF RRSFDATA class aktif edilmelidir. RRSFDATA class'ın 


RACLISTed olmaya ihtiyacı vardır ve generic komut işleme için aktif edilmelidir: 


SETROPTS CLASSACT(RRSFDATA) 
SETROPTS GENERİC(RRSFDATA) 
SETROPTS GENCMD(RRSFDATA) 
SETROPTS RACLIST(RRSFDATA) 


2. SYS1.PARMLIB'de IRROPTO1 isimli yeni bir member tanımlanmalıdır ve bu memberda 
aşağıdaki örnekte gösterildiği gibi TARGET komutu bulunmalıdır. 


TARGET - 

NODE(SC57) - 
DESCRIPTION('WS57TS SYSTEM”) - 
PREFIX(SYS1.RACF) - 

OPERATIVE LOCAL - 
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WORKSPACE(VOLUME(PDGTS41) 


3. SYS1.PROCLIB'teki RACF prosedüründe değişiklik yapılmalıdır. EXEC adımına 
PARM-'OPT-01' ilave edilmelidir.  RRSF parametrelerini içeren kütüphaneyi adresleyen 
SYS1.PARMLIB'e yönlendirecek RACFPARM ddname ilave edilmelidir. 


/IRACF PROC 
/IRACF EXEC PGMZIRRSSMOO,REGION-OM, PARM-'OPT-01' 
/IRACFPARM DD DSN-SYS1.PARMLIB,DISP-SAR 


4. Bu değişikliklerin yürürlüğe girmesi için 

S RACF,SUB-MSTR 

komutuyla RACF started task'ının kapatılıp, açılması gerekir. 

5. TARGETLIST komutunu kullanarak RRSF ortamının durumu kontrol edilebilir. 
#TARGET LİST 

6. Ayrıca RACF alt sistemini SET LIST komutunu kullanarak kontrol edilebilir. 


#SET LİST 
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10.0 Kriptografik Hizmetler 


Kriptografiye giriş 


Kriptografi, gizlilik, kimlik denetimi, güvenilirlik gibi bilgi güvenliği kavramlarını sağlamak 
için çalışan matematiksel yöntemler bütünüdür. Bu yöntemler, bir bilginin iletimi esnasında 
karşılaşabileceği aktif ya da pasif ataklardan bilgiyi -dolayısıyla bilgi ile beraber bilginin 


göndericisi ve alıcısını da- koruma amacı güderler. 


Bir başka deyişle kriptografi, okunabilir durumdaki bir bilginin istenmeyen taraflarca 
okunamayacak bir hale dönüştürülmesinde kullanılan tekniklerin tümüdür. Kriptolama, bir 


mesajı okunamayacak şekle sokma işlemine denir. 


Bu işlem, kriptolama anahtarı ile gerçekleştirilir. Dekriptolama mesajı orijinal şekline 


çevirme işlemidir. Bu da bir dekriptolama anahtarı ile gerçekleştirilir. 


Açık ve Gizli anahtarlar sayısal 
şifre bilgileridir 


. Veri bir anahtarla şifrelenirken 
diğer anahtarla deşifre edilir 


” 


/ 


Açık Anahtar Algoritması 
VBT Bilgi Teknolojileri AŞ 
110010101011100111011 
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10.1 Kriptografinin yetenekleri 


Güvenlik önlemlerinin Uygulamadaki öncelikli Unsuru teknik unsurdur. Güvenlik 
önlemlerinin teknik unsuru içerisinde, her geçen gün tehditlere bağlı olarak sayısı artan 
birçok önlem (güvenlik duvarı vd.) yer almaktadır. Teknik güvenlik önlemleri; bilginin kritik 
karakteristik özelliğini (gizliliği, bütünlüğü ve kullanılabilirliğini) korumak amacıyla,bilginin 
durumuna uygun olarak kullanılabilecek yazılım ya da donanım ile ilgili önlemlerdir. Fakat 
tüm bu önlemler içinde bilinen en eski ve aynı zamanda en güncel ve öncelikli yöntem 


bilginin şifrelenmesidir. 


—— Password. . 


p hş 


Bilginin güvenli iletileceğinden ya da elde edilmiş bilginin güvenli elde edildiğinden 
bahsetmek için, kullanılan iletişim sistemlerinin sahip olması gereken bazı güvenlik 
özellikleri vardır: 
& Kriptografinin Yetenekleri 
Gizlilik 
> Kimlik doğrulama 
Güvenilirlik 
Reddedilmezlik 
Erişim kontrolü 


Elektronik imza 
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Gizlilik (privacy/confidentiality): Bilgiyi görme yetkisi olanlar dışındaki herkesten gizli 
tutmak. 

Kimlik Doğrulama (authentication/identification): İletimi gerçekleştirilen bir mesajın 
göndericisinin gerçekten gönderen kişi olduğu garantisi. 

güvenilirlik (integrity): güvenilirlik bir bağlantının tamamı ya da tek bir veri parçası için, 
mesajın gönderildiği gibi olduğuna, üzerinde hiçbir değişiklik, ekleme, yeniden 
düzenleme yapılmadığı garantisi. 

Reddedilmezlik (non-repudation): Göndericinin iletilen mesajı inkar edememesi 
(böylece bir mesaj gönderildiğinde alıcı göndericinin mesajı gönderdiğini 
ispatlayabilir). 

Erişim Kontrolü (access control): İzinsiz kişi ya da uygulamaların erişmemeleri 
gereken kaynaklara erişemeyecekleri garantisi (ağ güvenliği bağlamında, erişim 
kontrolü, ana bilgisayar sistemlerine erişimleri kontrol etme ve limitlendirme yetisidir. 
Bu kontrolü başarmak için, erişimi kazanmaya çalışan her varlık ilk olarak 
tanımlanmalı veya doğrulanmalıdır. Erişim kontrolü servisleri kimlik denetimi 
yapılmış varlıkların kaynaklara ancak kendilerine izin verilen şekilde erişebilecekleri 
garantisini vermekle yükümlüdür). 

Elektronik imza (Electronic signature) : Elektronik imza kısaca elektronik veriye 
eklenen yada mantıksal bağlantısı bulunan, kimlik doğrulama amacıyla kullanılan 
elektronik bir veridir. Islak imza nasıl bir kağıda atılan imzanın size ait olduğunu 
ispatlamaktaysa, elektronik imza da herhangi bir elektronik dokümana eklenen 
imzalama verisinin size ait olup olmadığını ispatlamaktadır. Elektronik imza, 
imzalayan kişinin kimlik doğruluğunu ispatlar; imzalanan verinin içeriğinin başka bir 
şahıs tarafından değiştirilip değiştirilmediğini (bütünlüğünün bozulup bozulmadığını) 
ortaya koyar. Elektronik imzanın atılabilmesi için kişiye ait bir Nitelikli Elektronik 


Sertifika 'nın (NES) olması gerekir. 


Elektronik imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel 
fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile 
elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun 


yerine imzalamada kullanılan anahtarları vardır. 
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Elektronik imza ile; 


» İmzalayan kendi isteği ile onayını (İnkâr edememe) 

» İmzalayanın “o kişi” olduğunun tanımlanmasını (Kimlik Doğrulama) 

» Belgenin içeriğinin değişmediğini (Bütünlük) garanti altına almış olur. 
Belgenin gizliliği ise bir kriptolama işlemi ile sağlanır. E-imza belgenin gizliliğini 
sağlamaz. Elektronik imza için kullanılan asimetrik algoritmalardan en önemlileri 
RSA, DSA, ElGamal, Eliptic Curve, algoritmalarıdır. 


Bu temel kavramlar dışında zaman bilgisi, tanıklık, anonymity, sahiplik, sertifikalandırma, 
imzalama gibi kavramlardan da bahsedilebilir. 


10.2 Simetrik ve asimetrik şifreleme algoritmaları 

Şifreleme, iletişim sırasında verinin hem güvenliğini sağlamak hem de değiştirilmesini 
önlemeye yönelik işlemlerdir. Günümüzde şifreleme bir anahtar kelime yardımıyla olur. 
Gizlenecek bilgi anahtar kelime ile ilişkili olarak yeni bir bilgiye dönüştürülür. Bu yeni bilgiyi 
ilk ham haline döndürmek için yine anahtar kelimeye ihtiyaç duyulur. 

Örnek: kayhan ismini 362145 ile şifrelendirelim. 

kayhan 

362145 

şifrelendikten sonra: 

3. harf ık 

6. harf :a 

2. harf :y 

1. harf :h 

4.harfa 


5. harf: n olacak 


kayhan ismi şifrelendikten sonra hykana'a dönüşecektir. 
Matematiksel yöntemler kullanılarak verinin anlaşılmaz hale gelmesi ve ancak doğru kişiler 
tarafından açılması olarak tanımlanabilecek şifreleme işlemi simetrik ve asimetrik şifreleme 


(nublic key cryptography) olarak iki grupta toplanabilir. 


e simetrik şifreleme (gizli anahtar şifrelemesi olarak da bilinir) 


ii asimetrik şifreleme (açık anahtar şifreleme de denir.) 
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10.3 Simetrik şifreleme (gizli anahtar şifrelemesi) 


Simetrik şifreleme en çok bilinen ve eski şifreleme tekniğidir. Bu algoritmada şifreleme ve 
şifre çözmek için bir tane gizli anahtar kullanılmaktadır. Gizli anahtar bir sayı, bir sözcük ya 
da rastgele seçilmiş harflerden oluşan bir dize olabilir. Gönderilecek gizli metinle beraber 
üstünde anlaşılmış olan gizli anahtar da alıcıya gönderilir ve şifre çözme işlemi 
gerçekleştirilir. Simetrik şifrelemenin en önemli avantajından birisi oldukça hızlı olmasıdır. 
Simetrik algoritmalarda kullanılan anahtarın boyu ve dolayısıyla bit sayısı çok daha 


küçüktür. 


pen 
EE e eş erer 


li 


smmm 


Simetrik şifreleme algoritmaları şifreleme ve şifre çözme işlemlerini tek ve gizli bir 
anahtarla geçekleştirmektedir. Açık metni şifreledikten sonra alıcıya şifreli metni 
gönderirken, alıcıya bu gizli anahtarı da güvenli bir kanaldan iletmesi gerekmektedir. Bu 


simetrik şifreleme algoritmalarının en büyük dezavantajıdır. 


mesaj metni 
VBT Bilgi Teknolojileri â.Ş 


Gönderilecek mesaj metni 
VBT Bilgi Teknolojileri A.Ş 


> 
Encıypion/Decryption Key 
10101010101010101 


Gizli 
Anahtar 


Şifrelenmiş mesaj 
VET Bilgi teknolojileri A.Ş 
1“001010“011100*11011 


» Simetrik şifreeme güvenli ve hzlıdır 


« Artık yeni standart AES'tir 
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Hem göndericinin hem de alıcının) aynı anahtarı kullanmaları gerektiği için burada asıl 
sorun anahtarın karşıya güvenli bir şekilde iletilmesidir. Simetrik şifreleme anahtar karşıya 
güvenli bir şekilde iletildiği sürece Asimetrik (Açık anahtarlı) şifrelemeden daha güvenlidir. 
Anahtar elinde olmayan birisi şifrelenmiş metni ele geçirse bile şifrelenmiş metinden asıl 


metni bulması mümkün değildir. 


Ortak Anahtar 


a 
AMI... 


Ortak Anahtar 


Sezar,Vigenere,DES, 3DES, RC5, Blowfish, IDEA, SAFER gibi algoritmalar gizli anahtarlı 


şifreleme algoritmalarına örnek olarak verilebilir. 


Encryption Decryption 
algorithm algoritnm 


message 


Bu sistemde haberleşen taraflar: 


ig Aynı şifreleme algoritmasını kullanırlar 
ii Birbirine uyumlu gerçeklemeleri kullanırlar 


Aynı anahtarı kullanırlar 
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Çoğu şifrelenmiş simetrik metinler blok şifreli metinlerdir. Genellikle 8 byte uzunluğunda 
karakterlerle sabit sayıların karışımından oluşurlar. Simetrik şifrelemede şifreleme ve şifre 
açma işlemi aynı anahtar ile yapıldığından bu anahtar gizli tutulmalıdır. Bu nedenle, bu tip 


sistemlere gizli anahtarlı kriptografi sistemi adı da verilmektedir. 


Şifreleme Çözümleme 


Simetrik Anahtar —— Simetrik Anahtar 


DES yapısı itibari ile blok şifreleme örneğidir Yani basitçe şifrelenecek olan açık metni 
(plain text) parçalara bölerek (blok) her parçayı birbirinden bağımsız olarak şifreler ve 
şifrenmiş metni (cipher text) açmak içinde aynı işlemi bloklar üzerinde yapar. Bu blokların 


uzunluğu 64 bittir. 


DES aynı zamanda 64 bit uzunluğunda bir anahtar alır. Ancak bu anahtarın geçerli olan 
uzunluğu 56 bittir çünkü 8 bit parity için harcanır. 


DES'den daha güvenli 3 DES algoritmasıdır: 


Çift yönlü çalışır. Şifrelenmiş veri geri çözülebilir. 
DES şifrelemesinin 3 kere art arda yapılması şeklinde çalışır. 


DES şifreleme yöntemine göre 3 kat daha yavaş çalışır. 


Ee ccc 


Şifreleme yapmak için uzunluğu 24 bayt olan bir anahtar kullanılır. Her bayt için 1 


eşlik biti vardır. Dolayısıyla anahtarın uzunluğu 168 bittir. 


© 


Veri, 3DES anahtarının ilk 8 baytı ile şifrelenir. Sonra veri anahtarın ortadaki 8 baytı 
ile çözülür. Son olarak anahtarın son 8 baytı ile şifrelenerek 8 bayt bir blok elde edilir. 
Simetrik şifreleme algoritmalarının bu problemini ortadan kaldırmak için asimetrik şifreleme 


algoritmaları ortaya atılmıştır. 
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10.4 Asimetrik şifreleme 


1976 yılında Stanford Üniversitesinden Diffie ve Hellman adlı araştırmacılar iki farklı 


anahtara dayalı şifreleme sistemi önermiştir. 


Bu sistemde bir tane şifreleme için (public key) ve bundan farklı olarak bir tanede şifre 


çözmek için (private key) anahtar bulunur. 


Bu şifrelemeye asimetrik denmesinin nedeni veriyi şifrelemede kullanılan anahtar, veri 
şifresini çözmede kullanılamaz; eğer veriyi şifrelemek için public key kullanıldıysa, şifrenin 
çözülmesi sadece private key ile yapılabilir, ayrıca private key, public key” den elde 


edilemez. 


Asimetrik şifreleme algoritmalarında çok büyük asal sayılar kullanılmaktadır. 


Alıcı Genel Anahtarı 


RSA, DSA, Eliptik eğri,... 


SÖR... 
Alıcı Özel Anahtarı 


Gönderici Özel Anahtarı 


RSA, DSA, Eliptik eğri,... 


amaaa 
Gönderici Genel Anahtarı 


Asimetrik şifreleme algoritmalarına yaygın olarak Public Key Cryptosystems - PKCS 
denir, bu algoritmaların esası matematiksel algoritmalara dayanır. Asimetrik şifrelemede 
temel fikir çözümü çok zor olan matematiksel bir problem bulmaktır. Günümüzde en yaygın 


kullanılan algoritma RSA algoritmasıdır. 


Asimetrik şifreleme algoritmaları sayesinde alıcı ve verici taraflar kendilerine ait public 


private anahtar oluşturabilirler ve verilerini bu anahtarla şifreleyebilirler. 
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Asimetrik şifrelemenin kırılması simetrik şifrelemeye göre daha zordur. Bu yöntem private- 
key' lerin karşılıklı aktarılmasını gerektirmez. Böylece simetrik şifrelemedeki anahtar 


dağıtım problemi çözülmüş olur. 


Ece'nin Açık Fatma'nın Gizli 
Anahtarı Anahtarı 
. 


p 


bn 


İl İmama 
Ece * Asimetrik şifreleme simetrik şifrelemeden daha güvenli fakat yavaştır 


e 
ami 


* Ece Fatma'nın açık anahtarını bilmelidir Fatma 


Birisinin açık anahtarını nasıl bulabiliriz? 


DIFFIE-HELLMAN ANAHTAR DEĞİŞİMİ 


İnsanlığa ilk duyurulan açık anahtar algoritması, Diffie ve Hellman'ın açık anahtarlı 
kriptografi olarak tanımladıkları 1976 yılında yayımlanmış "New Directions in cryptography" 
isimli makalelerinde yer aldı ve bu algoritma kriptografik sisteme örnek olarak Diffie- 


Hellman Anahtar değişimi idi. Birçok ticari uygulama bu anahtar değişimini kullandı. 


Algoritmanın amacı, iki kullanıcının bir anahtarı güvenli şekilde birbirlerine iletmeleri ve 
daha sonrasında da bu anahtar yardımı ile şifreli mesajları birbirlerine gönderebilmelerini 
sağlamaktı. Algoritma anahtar değişimi ile sınırlıdır. Diffie-Hellman ortak gizli anahtar 
oluşturma sistemi ayrık logaritma problemini üzerine kurulmuş ve güvenirliği çok büyük 
asal sayıları seçmeye dayanmaktadır. p yeteri kadar büyük bir asal sayı olsun öyle ki Zp 
de ayrık logaritma problemini çözmek mümkün olmasın. g'de Zp de primitif bir kök 
(primitive root) olsun. p ve g herkes tarafından bilinsin. 

Ave B kişileri aşağıdaki yolu izleyerek ortak bir anahtar yaratabilirler:. 

.A,0Osasp-2 eşitsizliğini sağlayan ve tesadüfi olan bir a sayısı seçer. c - ga (mod p)'yı 


hesaplar ve bunu B'ye gönderir. 
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*B,0Osbs p-2 eşitsizliğini sağlayan ve tesadüfi olan bir b sayısı seçer. d — gb (mod p)'yı 
hesaplar ve bunu A'ya gönderir. 

*A, ortak anahtar k' yı şu şekilde hesaplar: k — da - (gb )a 

*B, ortak anahtar k' yı şu şekilde hesaplar: k —- cb — (ga )b 


Sayısal bir örnek: 


Ortak anahtarı oluşturmak için öncelikle p sayısını p-541 ve g sayısını g-2 seçelim. A 
kişisi kendi gizli anahtarı olan a sayısını, a -137 ve B kişisi kendi gizli anahtarı olan b 


sayısını, b - 193 olarak belirlesin. 


— &*(mod p) — 208 2” (mod 541) 


— g”(mod p) — 195 -2'” (mod 541) 
c ve d değerleri hesaplandıktan sonra a ve b kişileri bu değerleri birbirine gönderirler ve 
ortak olan k anahtarı sayısal olarak şu şekilde hesaplanır; 


k—c? —(g)” (modp)— (25)'9 (mod 541) 
— (208)! (mod 541) 


—> 486 (mod 541) 


RSA ŞİFRELEME ALGORİTMASI 


Diffie-Hellman algoritması oluşturularak simetrik şifreleme algoritmaları için büyük 
problemi olan gizli anahtarı koruma ve dağıtım büyük ölçüde aşılmıştır. Diffie-hellman 
algoritması sadece ortak gizli anahtarı belirlemekte kullanılmaktadır. 1977 yılında R.Rivest, 
A.Shamir ve L.Adleman isminde üç bilim adamının oluşturduğu yeni asimetrik şifreleme 
algoritması RSA, anahtar dağıtımının yanında şifreleme ve şifre çözme işlemlerini de 


gerçekleştirmektedir. 


RSA şifreleme sistemin oluşturulmasıyla birlikte asimetrik şifreleme algoritmalarının 


günümüzde daha yaygın olarak kullanılması sağlanmıştır. 
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private 
kendi private key'iile imzalar D imza inkar etmeyi önler 
yi 


public 


— .. ş, | AGGHDOSSU 
Alıcının public key'ini | 88789005 


kullanarak şifreler 


EBEEDO086U8 
87899LL 


uğu güçlendirir 


EBEEDC86U8 


imzanın göndericinin public key'i ile 


i AGGHDO8GU doğrulanması inkar edilmemeyi ve 
, 887890DD o integrity'yi güç'endirir 
EBEEDO86U3 N > 
B7899LL 
Tagancesi -. 
| 887890DD. . Kendi private key'i ile 
mesajı açar 


RSA kripto sistemi, hem gizlilik hem de Sayısal imza sağlamak amacıyla kullanılabilir. Bu 
sistemin güvenliği tamsayılarda çarpanlara ayırma probleminin kolaylıkla olmaması 
temeline dayanır. RSA kripto sisteminde kişilere şifreli mesaj gönderilebilmesi için o 
kişilerin açık anahtarlarına ihtiyacı vardır. Mesajı alan kişinin de mesajı okuyabilmesi için 


gizli bir anahtarın olması gerekir. 


Asimetrik şifreleme algoritmalarının da dezavantajları bulunmaktadır. Bu algoritmaların 
güvenliğini sağlayabilmek için çok büyük asal sayılar kullanılmaktadır. Bu da zaman 
açısından çok büyük problemler getirmektedir. Asimetrik bir algoritmayı kullanan sistemler 
simetrik algoritmaları kullanan sistemlere göre çok daha yavaştır. Ayrıca asimetrik 
şifreleme algoritmalarının çok büyük sayılar kullanmasından dolayı donanımsal yapılara 
uyum sağlaması çok zor olmaktadır 


Bundan dolayı sistemlerin hem simetrik hem de asimetrik şifreleme algoritmalarını birlikte 
kullanarak, simetrik şifreleme algoritmalarının dezavantajı olan gizli anahtar güvenliği 
problemini ve asimetrik şifreleme algoritmalarının hız problemini ortadan 
kaldırabilmektedir. 
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Gönderen 


Ds£ mod f(n) 
f(n)s(p1Xa1) 
nspxg 


Alan 


Şekil . RSA Şifreleme Algoritmasının Şifreleme ve Şifre çözme İşlemi 


Public Keylerin bize şifreli mesaj göndermek isteyenler tarafından bilinmesi gerektiğinden 
bu anahtarlar internette bir sunucu ile rahatça dağıtılmaktadır. İki anahtarla şifrelemeden 


dolayı inkâr edememeyi sağlayan sayısal imza gibi yeni yöntemler geliştirilmiştir. 
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Encryption ez y Decryption 
- ——— iş 
message mi message 
Public Key Private Key | 


Anahtar oluşturma algoritması şu şekildedir: 
P ve O gibi çok büyük iki asal sayı seçilir. 


Bu iki asal sayının çarpımı N - P.O ve bu sayıların bir eksiklerinin çarpımı 
©(N)-(P-1)(0-1) hesaplanır. 


1'den büyük E(N)'den küçük ve ©(N) ile aralarında asal bir E tamsayısı seçilir. 


Seçilen E tamsayısının mod ©(N)'de tersi alınır, sonuç D gibi bir tamsayıdır. 


E ve N tamsayıları genel anahtarı, D ve N tamsayıları ise özel anahtarı oluşturur. 


Örnek: 
P-7/ ve 0-17 gibi çok büyük iki asal sayı seçilsin. 


Bu iki asal sayının çarpımı N - P.0-7*17;N-119 ve bu sayıların bir eksiklerinin 


çarpımı 
E(N)-(P-1)(0-1)-6*16; ©(N)-96 olarak hesaplanır. 


1'den büyük ©(N)(96)'den küçük ve 96 ile aralarında asal bir E-5 tamsayısı seçilsin. 


Seçilen E-5 tamsayısının mod 96'da tersi alınır, sonuç D—77'dir. 
(906k*1)/3-> klise 

(06*141)/5-19,4 tam sayı olduğundan en küçük değer k cinsinden 4 olur 
06*441)/5-77 
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E-5 ve N-119 tamsayıları genel anahtarı, D-77 ve N-119 tamsayıları ise özel anahtar 
oluşturur. 
(5,119) anahtarları ile şifreleme, (77,119) anahtarları ile şifre çözme yapılacaktır. 


Kriptografi bilimi hızla gelişen bir bilim dalıdır. Eski algoritmaların dezavantajlarını ortadan 


kaldıracak yeni şifreleme algoritmaları geliştirmektedir. 


Asimetrik şifreleme algoritmalarının güvenliğinin temel prensibi olana çok büyük asal 
sayıları kullanımının yerine aynı güvenlik seviyesi daha düşük asal sayı değerleriyle 
gerçekleştirmeye çalışmaktadır. Bunun en önemli örneği eliptik eğrileri kullanarak 


gerçekleştirilen ve daha standartlaşmamış Eliptik Eğri şifreleme(ECC) algoritmasıdır. 


Eliptik eğri şifreleme algoritması ile daha düşük asal sayı değerleriyle Diffie-Hellman ve 


RSA algoritmalarıyla aynı güvenliği sağlayabilmektedir. 


Sonuç olarak, asimetrik şifreleme algoritmalarında ki hızlı gelişim, istenilen dezavantajları 
ortadan kaldırabilirse günümüz teknolojisinde simetrik şifreleme algoritmalarının yerini 


alabileceğini göstermektedir. 
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10.5 Şifreleme Algoritmalarının Performans Kriterleri 


& Kırılabilme süresinin uzunluğu. 
& Şifreleme ve çözme işlemlerine harcanan zaman (Zaman Karmaşıklığı ). 


& Şifreleme ve çözme işleminde ihtiyaç duyulan bellek miktarı (Bellek Karmaşıklığı). 


#“ Bu algoritmaya dayalı şifreleme uygulamalarının esnekliği. 


# Bu uygulamaların dağıtımındaki kolaylık yada algoritmaların standart hale 


getirilebilmesi. 


& Algoritmanın kurulacak sisteme uygunluğu. 


kripto sistemlerin kullanımı — veri gizliliği 

Simetrik ve asimetrik kripto sistemlerin her ikisi de veri gizliliği, veri bütünlüğüve sayısal 
imza için kullanılmaktadır. Asimetrik kripto sistemlerle büyük miktardaki verinin şifrelenmesi 
ve şifrelerin çözülmesi kullanışlı ve etkili değildir. Bu yüzden büyük veri şifrelemesi için, 
AES, DES, RC2 ya da RC4 gibi simetrik algoritmalar kullanılır. Simetrik algoritmaların 
dezavantajı her iki partnerin ( bir parti veriyi şifreler ve bir parti verinin şifresini çözer) aynı 
anahtara sahip olmasıdır. Anahtar yönetimi ya da anahtarların güvensiz bir ağ ortamında 
güvenlikli olarak dağıtımı bir problem oluşturur bu yüzden şifreleme anahtarlarının sıklıkla 


değiştirilmesi gerekir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 358/525 


10.6 z9 — Kriptografiye bir bakış 


TKE Workstation 
System z9 Lİ piy 


Hardware Crypto 
Other systems 


Crypto 


Express 2 


or instructions 
in the application 


Applications" asymmetric ICSF run-time 
keys encrypted under options 


the crypto PKA Master Key 


Applications' DES 
keys encrypted under 
the crypto Master Key 


Sistem 29 da iki tip kriptografik donanım özelliği mevcuttur. 
© CP Assist for Cryptographic Function (CPACF) 
© Crypto Express 2 özelliği 


z9 Kriptografik özelliklerinin tamamından yararlanmak için ICSF'in (Integrated 
Cryptographic Service Facility) kurulması gerekmektedir. ICSF z/0S'e entegre edilmiştir. 
Ayrıca isteğe bağlı TKE özelliği (Trusted Key Entry — Güvenilir Anahtar Girişi) Sistem Z9'un 
kriptografik anahtarlarını yönetmek için kullanılan ICSF çözümünün bir parçasıdır. TKE 
özelliği yüklü CEX2C özelliklerine sahiptir ve DES ( Data Encryption Standard) ve PKA 
(Public Key Algorithm) şifreleme anahtarları ile kullanılmasını amaçlamaktadır. TKE iş 
istasyonu master anahtarların yüklenmesini sağlayarak, CEX2C özelliklerin güvenli bir 


kontrolünü sağlarlar. 
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& Kriptografik hizmetleri kullananlar ICSF APl'sini çağırırlar. Bazı fonksiyonlar 
kriptografik işlemcileri uyarmadan ICSF yazılımı tarafından yerine getirilir; diğer 
fonksiyonlar ICSF deki kripto komutlarını içeren rutinlere girerek sonuçlanır. CEX2C 
yi kullanan kripto talimatları IBM tescilli olup hiç bir şekilde ifşa edilemezler. 

& Bu talimatlar bir CPU engine tarafından icra edilir ve eğer CPACF fonksiyonlarını 
adreslemezlerse, bir kriptografik işlemcisi için üretilmiş iş talebi olarak sonuçlanırlar. 


# Kripto işlemcileri aşağıdakileri sağlar: 


© 


Veriyi sistem hafızasına şifrelerler ya da şifreli veriyi çözerler 
Her bir kullanıcının talebi için şifreleme yapmak ya da şifreyi çözmek için ICSF 
tarafından sağlanan anahtar kullanılır. Bu anahtarların burada mühürlü zarflar 
halinde sunulduğu unutulmamalıdır, bu şifreleme / şifre çözme anahtarlarının 
kendilerinin şifreli olduğu gerçeğinin vurgulanması çok önemlidir ve bu yüzden bu 
anahtarlar kripto işlemcisi dışında tutulduğunda kullanılamaz, hiç bir işe yaramaz . 
& Fiziksel olarak bu anahtarlar, ICSF tarafından yönetilen VSAM dataset'lerinde 
tutulabilirler ve etiketle uygulama tarafından işaretlenir. e Kriptografik Anahtar 
Dataseti (CKDS) simetrik anahtarları şifrelenmiş şekilde saklamak için kullanılır ve 
Açık Anahtar Dataseti (PKDS) ise asimetrik anahtarları saklamak için kullanılır. Bu 
uygulama aynı zamanda, şifreli bir şifreleme anahtarı sağlama yeteneğine ya da 
doğrudan bellekte şifreleme anahtarını silme özelliğine sahiptir. 


Simetrik kriptografik anahtarla hızlı erişmek için, CKDS deki anahtarlar ICSF'in kendi veri 


sahasına kopyalanır. 


10.7 PCIXCC donanımına bir bakış 


IBM 25 yılı aşkın bir süredir kendi sunucuları için özel şifreleme işlemcisi tasarlamaktadır. 
Şifreleme işlemcileri çok basit cihazlar olarak başlamış, ancak zamanla gereksinimler bu 
sunucuları giderek daha karmaşık hale getirmiştir ve hızlı, daha hızlı işlemci talebi hiç 


bitmeyen bir talep olmuştur. 
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Pek çok nedenden dolayı PCIXCC dönüm noktası bir tasarım olmuştur. İlk kez tek bir ürün 
tüm IBM sunucu platformlarının ihtiyacını karşılamıştır. Bu işlemci, günümüz Web 
sunucularının performans taleplerine yanıt verebilmekte, bankacılık ve finans endüstrisinin 


ihtiyaç duyduğu karmaşık ve özel kriptografik fonksiyonlarını desteklemektedir. 


Resim - PCIXCC kartı 


Bütün kritik Kriptografik İşlemci Hizmetleri (CCF) ve tüm PCI Kriptografik İşlemci 
fonksiyonları PCIX Kriptografik İşlemci (PCIXCC) üzerinde sağlanmaktadır. 


PCIX Kriptografik İşlemcisi (PCIXCC), z/0OS işletim sisteminde ICSF ve RACF ile çalışır ve 
bu işlemci veri gizliliği, veri doğruluğu, kriptografik anahtar kurulumu ve üretimi, elektronik 
kriptografik anahtar dağıtımı ve personel kimlik numarası üretimi (PIN) konularının 
geliştirilmesine yardımcı olur. Yüksek asimetrik (şifreli anahtar) şifreleme performansı 
sağlar. Kripto performansı RMF ile ölçülebilir. En önemli özelliği ise fiziksel ve elektronik 
saldırılara karşı Tamper-resistant donanım olarak tasarlanmış olması ve yeni ihtiyaçlara 
göre programlanabilir ve kolaylıkla 


değiştirilebilir esnekliğe sahip olmasıdır. 
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Aşağıdaki resim kartın üzerindeki bileşenleri göstermektedir. 


Secure 


crypto 
module 


PowerPC 405GPr 
MİCTOprocessor (0D) 


Interconnecit 
PCI-X base card 


PCI-X bus edge connector 


1. 266 MHz hızında çalışan IBM PowerPC© 405GPr microişlemcisi. Mikroişlemci, kart 


operasyonlarının ana yöneticisi olarak işlem görür. 
2. 64 MB'lık dynamic random-access memory (DRAM). 
3. 16 MB'lık kalıcı verinin tutulması için sadece okunur hafıza (flash EPROM) 


4.128 KB'lık statik CMOS RAM, elektrik kesilmesine karşı pil ile yedeklenmiştir. DES , 
TDES ve AES gibi kriptografik algoritmalar anahtarlarla kontrol edildiğinden, korunmuş 
verinin güvenliği, kriptografik anahtarın güvenliğine bağlıdır. Master anahtarlar sistemde 
aktif olan kriptografik anahtarları korumak için kullanılır. Simetrik-anahtarların master 
anahtarı (SYM-MK) DES anahtarları gibi simetrik anahtarları 


korur ve asimetrik-anahtarların master anahtarı (ASYM-MK) RSA anahtarları korur. 
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Diğer anahtarlara nazaran master anahtarın korunması esas olduğundan, master 
anahtarlar PCIXCC'nin güvenli donanımı içinde sistemin güç kesintilerinden etkilenilmeyen 


bir pil ünitesi tarafından korunan yerlerde tutulurlar. 


5. IBM-tarafından geliştirilmiş ve Otello ismi verilmiş kriptografik çip. 
Otello çip iki kriptografik algoritma bölümüne ayrılmıştır. 
— Simetrik-anahtar kriptografi ve DES (64-bit anahtar), TDES (192-bit anahtar)ve 
AES (128-bit, 192-bitve 256-bit anahtarlar) güvenlik anahtar kriptolama 
algoritmalarını karıştırmayı sağlayan birimi ve SHA-1 ve MDS5 güvenlik karıştırma 


algoritmaları. 


— Açık-anahtar ünitesi RSA gibi algoritmaları sağlamak için kullanılan modüler 


matematik fonksiyonlarını sağlar 
6. Donanıma dayalı kriptografik kalitede rastgele sayı üretme kaynağı. 
7.Rigoletto denilen Alan — programlamalı gate dizini. 
8. Gerçek-zamanlı saat modülü. 
9. AVR güvenlik mikro kontrol ünitesi. 


10.Tamper-detection devre sistemi. 
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10.8 PCIXCC yazılımına bir bakış 


PowerPC 405GPr işlemcisi üzerinde çalışan yazılım dört bağımsız bileşene ayrılır. 


CCA application 


e bi J or Olluer applications 
— 
Digital certiticate 
Segment: 22 Operating syslızını (Linux) 
ii a Lİ ) and device dıivcıs 
rcplace /— 
Digital certificate 
Segment 1 
(in flash EDER İİ 
e e) Miniboot 1 


Digital certificate 


Segınıcni O 
(n ROM, 
permanent) 


IDE, 
Miniboot O 


Segment 0, kart fabrikadan bir kere çıkınca, bir daha değiştirilemeyen EPROM flash 


bölgesinde tutulan POST (power-on self-test) 0'ı ve Miniboot 0'ı içerir. 


Segment 71, POST 1 ve Miniboot 1 'i içerir. Bunlar Segment 0 daki POST ve Miniboot'un 
uzantılarıdırlar, fakat kart üretildikten sonra güvenle yüklenebilir olması nedeniyle önemli bir 
üstünlüğe sahiptir. Böylece, Segment O minimum gerekli POST ve Miniboot fonksiyonlarını 
tutarken Segment 1 daha fazlasını içerir. Bu, kod'ta kritik hata olduğunda değişmelerin en 


az olmasını sağlar. 


Segment 2 işletim sistemi ve cihazın sürücülerini bulundurur. PCIXCC kartı bir açık-kaynak 


gömülü Linux işletim sistemi kullanır. 


Segment 3 host programları tarafından karta API fonksiyonlarını veren PowerPC 405GPr 


üzerinde çalışan uygulama programını bulundurur. 
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POST ve Miniboot 


POST, power-on Self test kelimelerinin kısaltmasıdır. POST'un amacı PowerPC 405GPr 
işlemcisini, kriptografik engine'lerini, iletişim arayüzlerini ve diğer bütün mantığı kapsayan 
işlemci kartındaki tüm donanımı başlatmak ve test etmektir. Bu POST (Power-on Self Test) 
işlemi kartta herhangi bir arıza olabileceği varsayımıyla yapılmalıdır ve eğer ciddi bir arıza 


varsa kartın kullanımı önlenmelidir. Bulunan problemler rapor edilmelidir. 


zEnterprise Pattern 


İSMTUXI AlX'on 
WVİTTOWS POWER 
GT ETETI 


Blade Virtualızatioı 


—— 


© 
NR 
al 
Şİ 
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Ll 
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Sİ 
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Hi < | 
IR 
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System z PR/SM” | : 
| z HW Resources | (| Blade HW Resources 


zBX 


Support Element | | 
Private data network (IEDN) 


Unified Resource (Omemm Private Managemeni Network INMN 
Manager mem Private High Speed Data Network IEDN 
Customer Network Customer Network 


10.9 DES anahtar yönetimi 


Korumalı veri güvenliği şifreleme anahtarının güvenliğine bağlı olduğundan DES ve TDES 
algoritmaları anahtarlar ile kontrol edilir. CCA diğer anahtarları korumak için master 
anahtarı kullanır. Anahtarlar sistemde sadece master anahtarın bir varyantı altında 


şifrelendikleri zaman aktif olurlar, böylece master anahtar sistemde kullanılan 
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bütün anahtarları korumuş olur. Master anahtar her zaman şifreli donanımın güvenlikli bir 
alanında tutulur. 7/0S ortamında, ICSF yöneticisi master anahtarları ICSF panellerini ya da 
TKE (Trusted Key Entry) iş istasyonunu kullanarak kullanıma alır ya da üzerinde değişiklik 


yapar. 


DATA key MAC key IMPORTER key 
to be encrypted to be encrypted to be encrypted 


Encrypted Encrypted 
DATA key MAC key IMPORTER key 


Master anahtarın kendisi saldırıya karşı korumalı şifreleme donanımı içinde güvende 
olduğundan ve herhangi bir saldırı teşebbüsü olduğunda sıfırlanacağından diğer 
anahtarları şifrelemek için kullanılan ana anahtar saldırıya uğrayamaz; bu nedenle master 
anahtar altında şifrelenmiş diğer bütün anahtarlar şifreli donanımın korunmuş alanı dışında 


tutulurlar. 


10.10 Açık Anahtar Algoritması - PKA anahtar yönetimi 
Asimetrik kripto, algoritmalara ait anahtar çiftlerinin yönetimi için oluşturulan genellikle 
elektronik sertifika kullanan sunucu ve son kullanıcı hizmetleri için kullanılan bir asimetrik 


kriptolama işlemidir. 
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Ece'nin Fatma'nın Gizli 


Açık Anahtarı Anahtarı 
/ — VE n Hü m4 Vİ a 
7 e) | Lİ e 


Public Key 077 Public Key e 
| 


İ, oOEcerandombir gizli anahtar üretir 


Ece gizli anahtarı Fatma'nın açık anahtarı ile şifreler Fatma 


Gizli anahtar güvenli bir şekilde gönderilir 


e e NO 


Fatma şifreli gizli anahtarı kendi gizli anahtarı ile deşifre eder 


Açık Anahtar Algoritmasının ana görevi açık anahtarların sahipleri için sayısal sertifikaların 


üretilmesi, yayınlanması ve yönetiminin sağlanmasıdır. 


Açık anahtarlı şifrelemede kullanılan özel (private) anahtarın kişiye özel olması, sayısal 


ortamdaki bilginin imzalanmasını da gündeme getirmiştir. 


Bir sayısal belgeyi imzalamak için kişinin özel anahtarı ile şifrelenmesi yeterlidir. Oluşan 
çıktı ancak belirli bir özel anahtara ait olan açık anahtar ile açılabileceği için, belgeyi 


şifreleyen kişinin kimliğinden emin olunur. 
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Paylaşılan Gizli 


Paylaşılan Gizli Anahtar 


Anahtar 
(5) | 


Key vi | Key 
K Algorühm 


>. 


| Symmetric |) ( Symmetric ? 


igorithm | 


A 
yl 


Şimdi hem Ece hem de Fatma gizli anahtara sahiptir 


5. Ece mesajı gizli anahtarla şifreler 
6. Şifrelenmiş mesaj güvenlikli olarak gönderilir 
7. Fatma mesajı gizli anahtarla deşifre eder 


Ancak asimetrik anahtarlı şifrelemenin yavaş olması nedeniyle sayısal belgeler için özet 
alma metotları (digest) uygulanır. Bu metotlar herhangi bir sayısal belgeden, sabit 
uzunlukta ve tekil bir sonuç üretir. Bu özet kişinin özel anahtarı ile şifrelenerek sayısal imza 
oluşturulmuş olur. İmzayı kontrol etmek isteyen kişi aynı belgenin özetini alıp, sayısal 


imzayı da açık anahtarla açarak iki sonucu karşılaştırır. 


Özet Alma (Digest) 


Anahtarsız şifreleme, anahtar kullanmayan kriptografik algoritmalarveya diğer adlarıyla 
Veri Bütünlüğü ve Özet Fonksiyonları, veri bütünlüğünü garanti etmek için kullanılan MD5, 


SHA-1, RIPEMD-160 gibi kriptografi algoritmalarının kullandığı yöntemlere verilen isimdir. 


Bu özet fonksiyonu algoritmaları veriyi tek yönlü olarak işler ve algoritmanın özelliğine göre 
belirli bir genişlikte (örn: 128 bit, 512 bit) kriptografik özet çıkartır. Bir anlam bütünlüğü 
içermeyen ve rastgele seçilmiş sayılar görüntüsü yaratan bu çıktı o dosya veya bilgiye 
özeldir. Her işlem yapıldığında, hep aynı sonucu verir. Ancak dosya veya bilgide 1 bit 
değişiklik dahi gerçekleşmesi durumunda bu çıktı (özet çıktısı) tamamen değişir. Böylece 


iki kontrol arasında veri bütünlüğünde bir değişiklik olup olmadığı anlaşılır. 
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Özet fonksiyonları tek yönlüdür. Terabaytlar boyutunda bir bilgi dahi olsa özeti algoritmanın 
ön tanımlı anahtar genişliğini geçemez. (örn: 128 bit) ve bu özet fonksiyonundan asıl 
veriye ulaşılması veya özet fonksiyondan asıl veri ile ilgili bilgi edinilmesi teorik olarak 
mümkün değildir.Özet fonksiyonlarının anahtar genişlikleri ne kadar fazla ise güvenilirlikleri 
de o kadar artar. Anahtarın genişliği gerek, iki ayrı verinin özetinin istatistiksel çakışma 


olasılığını gerekse özet sonucunun değiştirilmiş bir veri ile taklit edilme olasılığını düşürür. 


Girdi Özet 


Bir kriptografik özet fonksiyonu olan SHA-1'in çeşitli girdiler için 81 
ürettiği özet değerleri. Girdi üzerindeki en küçük değişiklik bile özetin 
değerini önemli ölçüde değiştirmektedir. Bu durum çığ etkisi olarak 
adlandırılır. 


Ayrıca algoritmanın yapısal durumu da güvenilirlik ile ilgili karara varılırken mutlaka dikkate 
alınmalıdır. Bu algoritmaların hepsinin ortak özelliği girdilerdeki değişiklik karşısında 


kelebek etkisi davranışı sergilemeleridir. 


Kelebek etkisi, bir sistemin başlangıç verilerindeki küçük değişikliklerin büyük ve 
öngörülemez sonuçlar doğurabilmesine verilen addır. Edward N. Lorenz'in çalışmalarından 
biri olan Kaos Teorisi ile ilgilidir. Daha sonralarda hava durumu ile ilgili verdiği şu örnek ile 
ünlenmiştir. Amazon Ormanları'nda bir kelebeğin kanat çırpması, ABD'de fırtına 
kopmasına neden olabilir. Farklı bir örnekle bu, bir kelebeğin kanat çırpması, Dünyanın 


yarısını dolaşabilecek bir kasırganın oluşmasına neden olabilir. 
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Kriptografik bilgilerin çözülmesinde kullanılan anahtarlama sistemleri de tıpkı kripto yapan 
anahtarlama sistemi gibi çalışmaktadır. 
Bu sistemler çok gizli bir güvenlik ve emniyet unsurları ile korunmaktadır. 


Küçük bir alanda, açık anahtarların güvenli ve emin bir şekilde ulaştırılması mümkündür. 
Fakat uluslararası bir mesajlaşma ortamında kullanıcılar arasında anahtarların 
ulaştırılması pratik değildir. Bunun için güvenilir üçüncü taraflar tarafından uygulanan 


otomatik anahtar yönetimi ve sayısal imzalara ihtiyaç vardır. 


AAA yapısında bulunan temel elemanlar; 


Kayıt İşlemi:Bir AAA ortamına kullanıcıların katılıp kullanmaları için AAA sistemine ait 


güvenilir üçüncü şahıs servisine kayıt olmaları gerekir. 


E- imza: Mesajların doğrulanması, bütünlüğü ve inkâr edilmezlik gibi ihtiyaçları karşılayan 
AAA servisidir. 


Anahtar Yönetimi: Bu servis içinde anahtarların üretimi, sahiplendirilmesi, dağıtılması, 
depolanması, geri alınması, yedeklenmesi, güncellenmesi, anahtar erişim isteklerinin 


doğrulanması ve yönetim aşamalarından oluşur. 
Şifreleme: Ağda mesajların gizliliğini sağlayarak koruma sağlayan şifreleme aşamasıdır. 


İnkâr Edememe: Verilerin işlenmesi, toplanması, tekrar elde edilmesi ve doğruluğunun 


onaylanması gibi işlemleri içerir. 


Zaman Damgası: Veri ve dokümanlara eklenen zaman damgası ile geçerli olduğu zaman 


aralığını belirler. 


Sertifika Yönetimi: E-sertifikalar birey ile onun açık anahtarı arasındaki ilişkiyi sağlayan 


bir elektronik bilet olarak düşünülebilir. 
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10.11 Açık Anahtar Algoritması ve Güvenlik 


Elektronik belgelerin güvenliğini sağlamak için çeşitli güvenlik hizmetleri mevcuttur. Bu 


güvenlik hizmetleri aşağıda görüldüğü gibi sınıflandırılabilir: 


Veri Gizliliği: Elektronik bir belgenin içeriğinin gizli kalmasını sağlayan ve yetkisiz kişilerce 
okunmasını engelleyen güvenlik hizmetleridir. Bu rehber kapsamında, veri gizliliğini 


sağlamak için şifreleme yöntemleri kullanılmalıdır. 


Veri Bütünlüğü: Elektronik bir belgenin hazırlandıktan sonra değiştirilmediğini ve 
orijinalliğini koruduğunu ispat etmeyi sağlayan güvenlik hizmetleridir. Bu rehber 
kapsamında, veri bütünlüğünü sağlamak için özet alma ve elektronik imza yöntemleri 


kullanılmalıdır. 


İnkar Edilemezlik ve Kimlik Doğrulama: Elektronik bir belgeyi kimin hazırladığı kesin 
olarak ispat etmeyi sağlayan güvenlik hizmetleridir. Bu rehber kapsamında, inkar 


edilemezlik ve kimlik doğrulamayı sağlamak için elektronik imza yöntemleri kullanılmalıdır. 


Verinin Var Olduğu Tarihin İspatı: Elektronik bir belgenin kesin olarak hangi tarihte var 
olduğunu ispat etmeyi sağlayan güvenlik hizmetleridir. Bu rehber kapsamında, verinin 


hangi tarihte var olduğunun ispatını sağlamak için zaman damgası kullanılmalıdır. 


AAA'Nın altyapısını sayısal sertifikalar oluşturur. Sayısal sertifikalar genel güvenilirliğe ve 
yetkiye sahip bir sertifika merkezi (SM) tarafından verilebilir. Bir sayısal sertifika, sertifika 
merkezine başvuran kişinin açık anahtarını, kendisine ait tanıtıcı bilgileri ve sertifika 
merkezinin sayısal imzasını içerir. Bilgi alışverişi sırasında gönderici taraf belgeyi sayısal 
olarak imzalar ve belgeyle birlikte sayısal sertifikasını da alıcıya yollar. Alıcı taraf sertifikayı 
veren sertifika merkezine doğrulatır ve sertifikada yazan açık anahtarın gönderen kişiye ait 


olduğundan emin olmuş olur. 


Açık anahtarlı şifreleme sistemlerinde bu durum farklıdır. Bu sistemde açık anahtar ve özel 
anahtar bulunmaktadır. Bu anahtarlar tek yönlü çalışmakta ve birbirlerini 


tamamlamaktadırlar. 
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Açık anahtar veriyi şifrelemek özel anahtar ise açık anahtar tarafından şifrelenmiş veriyi 
deşifre etmek rollerini üstlenmişlerdir. Gizli anahtarlar sadece ait oldukları kişide bulunurlar. 
Fakat açık anahtarlar public durumdadırlar ve dağıtımları açık olarak yapılır. PKI; gizlilik, 
güvenilirlikve kimlik kontrolü fonksiyonlarını kullanıcıların Sayısal sertifika kullanması yolu 
ile sağlar. Sertifika Sayısal bir kimlik olduğu gibi aynı zamanda sahibine ait bilgiler ile 


gerekli algoritma anahtarlarını üzerinde bulundurur. 


Sertifikalar kişiye özeldirler. Güvenli bir şekilde ve güvenli ortamlarda muhafaza edilmeleri 
gerekmektedir. Şayet sertifikalar sabit disk gibi güvensiz ortamlarda muhafaza edilirse, 
kolayca değiştirilebilirler ve başka kişiler tarafından kötü niyetli olarak kullanılabilirler. Bu 


aslında PKI yapısının bir güvenlik açığıdır. 


Bu açık ancak ve depolama aracı olarak akıllı kartların kullanımıyla ortadan kaldırılır. Akıllı 
kartların kullanımı ve taşınması yapısı nedeniyle oldukça kolaydır. Akıllı kartlar bir kredi 
kartına benzerler(Günümüzde kredi kartları akıllı kartlar olarak dağıtılmaktadır). Akıllı 
kartlar sahip oldukları güvenlik mekanizmaları sayesinde fiziksel, elektriksel ve kimyasal 
(kart içindeki bilgiyi çalma amaçlı yapılan tüm saldırılar) etkilere karşı kendilerini 
kilitleyebilirler. Kart üzerine gizli anahtarlar 

yüklendiğinde kesinlikle bu bilgiler karttan okunamazlar ve kullanımları bir şifre ile korunur 
(PIN kodu). 


PKI üzerinde çalışan elektronik imza ile, internet üzerinde yapılan tüm elektronik işlemlerin 
(e-mail gönderimi / alımı, B2C, elektronik bankacılık uygulamaları, e-devlet platformları) ve 
gönderilen her türlü bilginin iletimi esnasında, bilgiyi gönderen kişinin kendisi olduğunun, 
bilgiyi gönderen kişinin gönderdiği bilginin içeriğini bildiğinin, gönderilen bilginin taşıma 
esnasında değiştirilmediğinin, bilgiyi gönderen kişinin bilgiyi (gönderdiğini o inkar 
edemeyeceğinin garantisi ve güvenliği sağlanır. Elektronik imza kısaca kişiye özgü 
elektronik işarettir. Elektronik imza kuruma veya kişilere özgü olabilir, imzaya sahip olanın 
diğer bir adıyla pasaportu olarak da bilinir. Elektronik imzalar, güvenilir olarak kabul 
görmüş, sertifika otoritesi denen kurumlar tarafından dağıtılır ve takip edilir. Sertifika 


Otoriteleri, tüm ülkelerde kimlik üreten makamlar konumundadır. 
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10.12 ICSF (the Integrated Cryptographic Service Facility 
) 


ZOS ortamında (o çağrılabilir hizmetleri aracılığıyla şifreleme fonksiyonlarına erişimi 
sağlayan hizmet Entegre Şifreleme Hizmet Tesisi (ICSF) 'dir. ICSF çağrılabilir hizmetleri 
IBM CCA (IBM Common Cryptographic Architecture) şifreleme API 'sı ile uyumlu ve 
assembler veya yüksek seviyeli dillerde yazılmış programlar için uygundur. 

Master anahtar hiyerarşinin en üstünde olduğundan, IBM CCA başka anahtarlarla (key- 
encrypting keys, KEKs) şifrelenmiş olan anahtarların bulunduğu yerlerdeki anahtar 
hiyerarşisini destekler. 


Symmetric-keys 
Master Key 


Asymmetric-keys 


Segment3 
Segment 2 


Clear application 
key in storage 


Or İNSİrUctons 
in the application 


Application's DES keys Application's public/private 
encrypted under keys encrypted under 
itine SYM-MK ihe ASYM-MK 


Şifreli işlemcilere master anahtar set edilmesi gerektiğinden ICSF şifreli işlemcileri 
yönetme olanakları sağlar. 


ICSF ayrıca anahtarları iki VSAM datasetinde depolar, anahtarlar burada ya şifresiz yalın 
halinde ya da bir KEK veya master anahtarlı işlemciler altında şifrelenmiş “key tokens — 
anahtar yanıltıcı” larda tutulur. 
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Bu iş için kullanılan VSAM dataset'ler Cryptographic Key Dataset (CKDS) ve Public Key 
Dataset (PKDS) lerdir. CKDS ve PKDS'lerde tutulan anahtar yanıltıcılara kullanıcı — ya da 


sistem tanımlı etiket verilir, bu etiket bakım için kullanılır. 


Yukarıdaki şekil Sistem Zz ortamında donanım şifreleme uygulamasının şematik 
görünüşünü gösterir. Şekil, Sistem z9 üzerindeki bir uygulama programının CCA şifreli bir 
API çağrısını nasıl yayınladığını göstermektedir. 


Çağrı ICSF started taskına yönlendirilir. ICSF started taskı istekle ilişkilendirilmiş herhangi 
bir anahtar olup olmadığını ve istekle ilişkilendirilmiş kullanıcı ID'sinin şifrelenmiş servis 
isteğini kullanmaya yetkili olup olmadığını ortaya çıkarmak için RACF'i çağırır. Eğer 
kullanıcı ID geçerli bir yetkiye sahipse, ICSF started taskı kendisine gelen isteği ICSF 
yazılımı kullanarak mı yoksa şifreleme donanımı kullanarak mı işleme koyacağına karar 


verir. 


Eğer started task şifreleme donanımını kullanmaya karar verirse, kontrol kripto talimatlarını 
içeren rutinlere verilecektir. Kripto talimatlarının sürücüsü CEX2C IBM lisanslı bir üründür; 
IBM onları ifşa etmez. ICSF isteği CEX2C ye yönlendirir ve isteğe artık şifrelenecek veri 
isteği denir. ICSF started taskı, CEX2C ye şifrelenecek veri ve şifreleme algoritması 


kullanılacak anahtar sunar. 
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11. Dijital Sertifikalar 


Dijital sertifikalar, işletme ve bankacılık web sitelerinden alışveriş ve ürün geliştirmeye, 
etkileşim ve sosyal medyaya kadar veri iletişiminin tüm yönlerini korumanın kalbindedir. 
Günümüz toplumunun hızla bilgi toplumu olması, bulut bilişimin benimsenmesi ve devletin 
de elektronik uygulamaları hızla yaygınlaştırmaya çalışması, dijital sertifikaları her 


zamankinden daha önemli hale getiriyor. 


Dijital Sertifikalar ya da "Dijital Kimlikler", gerçek hayatta kullanılan kimlik kartları, 
pasaportlar ve imza sirkülerinin elektronik ortamdaki benzerleridir. Sertifikalar elektronik 
işlem ve iletişim sırasında kişinin kimliğinin kontrol edilmesini sağlar. Yasal olarak da ıslak 
imza ile aynı statüyü kazanmıştır. Dijital Sertifikalar, kişi ya da kurumun kimliği ile sayısal 
bilginin şifrelenip mühürlenmesine yarayan bir çift elektronik anahtar arasında bir bağ 


kurarlar. 


Dijital sertifika 


Sertifikanın seri numarası 
Sertifika ID'si 


Status'ü TA ZER 
Başlangıç ve bitiş tarihi 
Yayımcının adı Üre > 
Sertifika 


Subject'in adı yi 
: N sağlayıcının private 
imzalama algoritması key'i ile imzalı 


Dijital Sertifikalar, kişi ve kuruluşların elektronik olarak kimlik tespitini yaptığı ya da online 
servis ve bilgiye ulaşma hakkını sağladığı için, elektronik ticaret, veri transferleri ve internet 


bankacılığı için ideal bir çözüm olmaktadır. 
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Internet kullanıcıları tarayıcılarına (browser) aldıkları dijital sertifikaları ile kendilerini web 
sitelerine güvenilir bir biçimde tanıtabilmekte, e-posta iletişimlerini şifreli ve imzalı olarak 
yapabilmekte, özel ve korunan bilgilere ulaşabilmek için yetkilendirilebilmekte, belge ve 
formları imzalayabilmektedirler. Sertifikaların kullanımına iki taraf katılmaktadır. Taraflardan 
biri kendini tanımlamak için bir sertifika kullanır, diğer tarafın bu sertifikayı onaylaması 
gerekir. Bu işleme el sıkışma denir. Kullanılan protokol Güvenli Soket Katmanı / Transport 
Düzeyi Güvenliği'dir (SSL / TLS). El sıkışma işleminin çalışması için her iki tarafın da 
sertifikaları kendi sertifika depolarında saklaması gerekir. Sertifika deposuna anahtar 


deposu veya anahtar veritabanı da denir. 


z/ OS'de yaygın olarak sertifika kullanan bileşenler 


Bileşen Sunucu sertifikasının halkaya | RACF anahtarlığı 
bağlanması örn: 'MYRING* | Nerede / Nasıl belirtilir 


RACDCERT ID(FTPSVR) i 
FTP Server CONNECT(LABEL('FTP Cert”) e 
DEFAULT) 

KEYRING MYRING 


veya AT-TLS policy 


TN3270 Server ei Telnet profile file 
KEYRING SAF MYRING 
veya AT-TLS policy 

DEFAULT) 


IP Security (IPSEC) Iked.conf file 
KEYRING MYRING 


veya AT-TLS policy 


RACDCERT IDWEBSVR) 
http Server CONNECT(LABEL('WEB Cert”) hitpd.conf file 
RING(MYRİNG) DEFAULT) 


Keyfile MYRING SAF 


Websphere MO RACDCERT ID(OM1) MG command 
A ANE ALTER OMGR SSLKEYR 
(ibmWebSphereMGM01”) (MYRING) 
RING(MYRING)) 
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SSL / TLS protokolu için sertifika deposuna yerleştirilecek sertifikaları nereden edinebiliriz? 


Sertifika yetkilisi (CA) sertifika verir. Sertifika satan tanınmış CA'lar vardır. Kendi kuruluşları 
için sertifika veren dahili CA'lar da vardır. Tüm sertifikalar ortak standartlar kullanılarak 
oluşturulur. Yani, hangi CA'nın sertifikayı sattığı önemli değil, hangi CA ve hangi platformda 
oluşturulursa oluşturulsun, herhangi bir platformdaki herhangi bir uygulama tarafından 
kullanılabilir. Bu nedenle, CA'nın seçilmesi, sertifikanın kullanıldığı platformun bağımsız bir 


değerlendirmesidir. 


z Systems, Linux ve Windows üzerinde, sertifika gerektiren uygulamalarınız varsa ve dahili 
bir CA kullanmak istiyorsanız, platformların her birinde çalışan bir CA'ya sahip olmanız 


gerekmez. 
11.1 Ana soru 


Sertifikalar, Şekil 10-1'de gösterildiği gibi, cevaplanması gereken ana soruyu sorarlar. 


Şekil 10.1 Sorulması gereken ana soru. 


İletişim başlamadan önce, herhangi biri veya herhangi bir şey (sunucu gibi) iletişim 


sürecine devam etmeden önce kimliğini başkalarına bildirmelidir. 
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Not: İletişim sürecindeki her taraf bir varlık olarak adlandırılır; bununla birlikte, bu genel 
bakış açısından yola çıkarak, Ece ve Fatma ile cep telefonları ve dizüstü bilgisayarlar 
(Şekil 10-1'de gösterildiği gibi) aracılığıyla iletişim kuran kişilere atıfta bulunuyoruz. Bu 
senaryo, birbirleriyle konuşan sunucular veya birbirleriyle iletişim kuran kişiler ve sunucular 


için de geçerlidir. 


Ama, bildirilen kimlik gerçekten o kişinin kimliği midir? Başka biri de sahte kimlik 


gösterebilir. 
11.2 İkincil soru 


Ece kimliğini Fatma'ye sunabilir, ama Fatma bu kişinin gerçekten Ece olduğuna inanabilir 
mi? Herhangi bir mesajı veya işlemi herhangi biriyle veya herhangi bir şeyle paylaşmadan 
önce, iletişime kimlerin dahil olduğu konusunda kendimizi daha güvenli hissetmeli ve bu 
kişilerin ya da şeylerin iletişimde yer alıp alamayacaklarını belirlemeliyiz. Üç soru daha 


Şekil 10.2'de gösterilmiştir. 


Sövlediğiniz kişi olduğu 
bilebilirim ? 


Size nasıl güvenebilirim? 


Şekil 10.2 İkincil sorular. 


Söylediğiniz kişi olduğunuzu nasıl bilebilirim? Bunu başka kimler görebilir? 
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Ece'nin Fatma'dan bir satın alma işlemi gerçekleştirdiğini düşünün. Ece, satın alma 
işlemine devam etmeden önce, bu ikincil sorular yanıtlanırsa satın alma konusunda 
kendisini daha rahat hissedecekve kiminle iletişimde olduğunu bilecektir. Sorularımızla 


ortaya çıkan sorunların çözümü, Şekil 10-3'te gösterildiği gibi sertifikalardır. 


Dijital sertifikalar 
kullanıcıların kimliğini 
doğrulamak ve bir yerden bir 


yere taşınan bilgileri korumak 
için kullanılır. 


Şekil 10.3 Dijital sertifikaların rolü. 

Şekil 10-3'te, sertifikaların iletişim kurmak istediğimiz kişilerin ve sunucuların kimlik 
doğrulamasını sağlayabiliyorsa, daha fazla itimatla ve artan bir güven duygusuyla işleme 
devam edebileceğimizi görebiliriz. Pekiyi, bu süreçte her hususu yeterince yerine 
getirebildik mi? Şekil 10.4'te gösterildiği gibi dikkate alınması gereken başka bir husus 


daha var. 
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Dijital sertifikalara 


güvenilebileceğini nasıl 
anlarım? 


Şekil 10.4 Dijital sertifikaya nasıl güvenebilirim? 


Kiminle iletişim kurduğunuzu belirleme konusunda endişeleriniz olduğu gibi, sertifikaların 
kendilerinin de güvenilir olup olmadığı da ayrı bir endişe konusudur. Bu durumda 


“Koruyanları kim koruyacak ? sorusuyla karşı karşıyayız. 


Çözüm, kişilerin ve sunucuların güvenebilecekleri bir sertifika almaları için güvenilen bir 
yöntem oluşturmaktır. Sertifikanın ayrıca iletişim süreci boyunca mesajları ve verileri 


korumak için kullanılacak bilgileri de sağlaması gerekir. 


Not: Sertifika herhangi bir şifreleme yapmaz. İçerisinde bulunan bilgiler, şifreleme yapmak 


için diğer yazılım ve donanımlar tarafından kullanılır. 


Sertifika sağlanması bir CA (sertifika sağlayıcı) aracılığıyla verilir. Şekil 10-5'te, bir CA'nın 


kullanıcılar için sertifika oluşturduğunu görüyoruz. 
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Sertifika 
Sağlayıcı 
Güvenilir bir kaynaktan 


kimlik doğrulama 


Şekil 10.5 Sertifika Sağlayıcı 


Bu işlemin gerçekleşmesi için uygulanan tipik iş adımları şekil 10.6'da gösterilmektedir. 


Sertifika 
Sağlayıcı 


İş adımları: 


1. Kullanıcı sertifika talep eder 

2. CA isteği doğrular 

3. CA isteği kabul ya da reddeder 
4. CA sertifikayı yayınlar 


5. Kullanıcı sertifikayı alır pe eği 


6. Sertifika kullanıma hazırdır 


Şekil 10.6 Bir dijital sertifika oluşturma 
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11.3 İletişimin Güvenlik özellikleri 


İletişim aşağıdaki temel güvenlik özelliklerini içerir: 
Güvenirlik: Bir kişinin veya sunucunun kim olduğunu veya kim olduğunu belirleme 


iddiasının geçerliliğinin doğrulanması. 


Doğruluk: Mesaj içeriğinin değiştirilmediğinden veya güvenliğinin ihlal edilmediğinden emin 
olunması. 

Gizlilik: Mesajın yalnızca hedeflenen alıcı tarafından görülebilmesinin sağlanması. 

İnkar edilemezlik: Gönderenin veya alıcının mesajın kaynağı veya alındığını inkar 


edemeyeceğine dair güvence. 


11.4 Gizli anahtar kriptografisi 


Örneğimizde, Ece'nin grubumuzun başka bir üyesi olan Fatma'ye özel bir mesaj 
göndermek istediğini varsayalım. Şekil 10 - 7'de gösterildiği gibi Ece, cep telefonundan, 


dizüstü bilgisayarını kullanan Fatma'ye mesaj gönderir. 


(— Aynı anahtar 


Şekil 10.7 Gizli anahtar kriptografisi 


Mesajın özel olmasını istiyorlar, böylece mesajı sadece onlar anlayabilecekler. 
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Aşağıdaki işlemler gerçekleşir: 

1. Ece mesajı yazar ve gönderir. 

2. Mesaj bir anahtar kullanılarak şifrelenir. 

3. Fatma mesajı aldığında, aynı anahtar kullanılarak şifresi çözülür. 


4. Fatma orijinal mesajı okur. 


Daha önceki bölümde anlatıldığı gibi, şifrelemede, bir algoritma veya algoritma kümesi 
verileri şifrelemek için bir anahtar kullanır. İki bölüm vardır: algoritma ve anahtar. Bu 
parçalar birbirinden ayrıdır ve birbirlerinden ayrı oldukları için anahtar tehlikeye girmişse 
yeni bir anahtar gerekir, ancak algoritmalar yerinde kalabilir. Yeni bir algoritma yazmaya 
gerek yoktur; bunun yerine farklı bir anahtar kullanılır. Örneğimizdeki Ece ile Fatma'nin 
iletişiminde, aynı anahtar orijinal mesajı şifrelemek ve şifresini çözmek için kullanılır 


(simetrik şifreleme). 


Anahtar, gönderen Ece ile alıcı Fatma arasında bir sırdır. Yalnızca Ece ve Fatma anahtara 
erişebiliyorsa, aşağıdaki noktaları göz önünde bulundurmalıyız: 

» Ece bir mesajı şifrelemek ve grubun başka bir üyesine göndermek için bu özel 
anahtarı kullanırsa, amaçlanan alıcının anahtarı yoktur ve mesajın şifresini 
çözemez ve okuyamaz. 

» Ece veya Fatma grubun diğer üyeleriyle iletişim kurmak istiyorsa, aşağıdaki 

senaryolar oluşabilir: 
- Ece, gruptaki her kişi ve sunucunun her biriyle doğrudan iletişim kurmak için ayrı 
bir anahtar oluşturur. Bu durumda, altı anahtar daha gerektirir. Gruptaki herkes 
birbirinden ayrı anahtarlar kullanarak iletişim kurmayı seçerse, anahtar sayısı 6 * 5 
1413121121 olur. Grup üyeleri alt gruplar oluşturmak isterse bu sayı daha 
da artar. 


- Ece ve Fatma anahtarı başkalarıyla paylaşmayı seçebilirler. Anahtara erişimi olan 
üyeler birbirleriyle mesajları şifreleyebilir ve şifrelerini çözebilir; ancak, orijinal Ece ve 
Fatma arasındaki gizlilik düzeyi artık gruba erişimi olan herkesin başkalarının 


mesajlarını görebileceği bir grup düzeyinde gizliliğe taşınmış olur. 
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11.5 Public key (Açık anahtar) kriptografi 


Açık anahtar kriptografide iki anahtar kullanılır. 


Açık anahtar (Public key): Bu anahtar herkese açık anahtardır. 
Özel anahtar (Private key): Bu anahtar kişiye özel, çok haneli ve tekrarlanması imkânsız 


bir şifreleme metoduyla hazırlanır ve herkese açıklanmaz. 


Bu iki anahtarın kullanımı, eşleştirilmiş bir anahtar yaklaşımı olarak bilinir. Şifreleme için 
kullanılan anahtar, şifre çözme için kullanılan anahtardan farklıdır. Ortak anahtarın özel 
anahtar adı verilen bir karşılığı vardır. Anahtarlar oluşturulduğunda, bunlar bir çift olarak 
oluşturulur. Bu işlem, simetrik bir anahtar kullanan (şifreleme ve şifre çözme için aynı 
anahtarı kullanan) Şekil 10 - 7'de gösterilen simetrik anahtardan farklı olan asimetrik 
şifreleme olarak bilinir. 
Asimetrik anahtar çifti aşağıdaki özelliklere sahiptir: 
» Şifrelenmiş bir mesajın şifresi, sadece anahtar çiftinin diğer anahtarıyla çözülebilir. 
»e Şifrelenmiş mesajın şifresini, şifrelemeyi oluşturmak için kullanılan şifreleme 
anahtarıyla çözemezsiniz. 
»e Her iletişimde bir ortak anahtar ve bir özel anahtar bulunur. Bizim senaryomuzda 
Ece, asimetrik anahtar çiftlerini kullanarak Fatma'ye bir mesaj göndermek istiyor. 
Mesaj gönderilirken aşağıdaki adımlar gerçekleşir: 


- Ece, mesajı şifrelemek için Fatma'nin ortak (public) anahtarına erişir. 


Fatma, mesajın şifresini çözmek için özel anahtarını kullanır. 
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N 0— Ece'nin açık 


anahtarı 


Şekil 10.8 Public key kriptografi 


Bu çözüm kabul edilebilir mi? “Güvenlik özellikleri” başlığında belirttiğimiz Güvenilirlik, 
Doğruluk, Gizlilik, İnkâr edilmezlik hususlarının tümünü karşılıyor mu? Hayır. İleti şifreli 
olduğu ve Fatma'nin alıp şifresini çözene kadar yolculuğu boyunca bu şekilde kaldığı için 
bir gizlilik düzeyi sağladı. Ancak, güvenilirlik, özgünlük, doğruluk ve inkâr etmeme için 
yeterli koruma sağlamadı. 

Şekil 10 - 8'de Fatma, gönderenin gerçekte kim olduğundan emin olamaz, çünkü gönderen 
ortak anahtarını aldı ve kullandı. Ece kimliğini doğrulayan hiçbir bilgi sunmadı. Bu nedenle, 
Fatma mesajının şifresini çözüp okuyabilse de, mesajı kimin gönderdiğine dair gerçek bir 
kanıtı yoktur. Ece yalnızca mesajın kendisinden geldiğini kanıtlamak istiyorsa, başka bir 


teknik kullanabilir: mesajı dijital olarak imzalayabilir. 
11.6 Dijital imzalar 


Internetin sağladığı iş fırsatları ve çok değişik gelişmiş hizmetler gün geçtikçe artmaktadır. 
Bankacılık hizmetlerinden alışverişe e-posta iletişiminden bilgi servislerine kadar her 
alanda güvenlik en başta gelen konulardan biri olmaktadır. Erişimin basit "kullanıcı adı" ve 
"şifre" ile sağlanması artık yeterli ve güvenli sayılmamaktadır. Bunun yanında artık birçok 
ülkede işlemlerin ve anlaşmaların elektronik olarak tamamlanması ve hukuki açıdan kabul 


edilmesi dijital imzaların gerekliliğini ortaya koymaktadır. 
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Dijital imza - 1 


Ali'nin private anahtarı 
Bu data'nın transfer (0) ram 


sırasında değişmedi > — 


ğinden emin a 
olmalıyım. 


Şifrelenmi 
AçıkAnahtar |—— | mesaj 
Algoritması özeti 


mesajı 


Ali'ni Hash'leme Mesaj 
önin | —İ Assoritması Özeti 


Dijital İmzanın bir özelliği de, mesajın yazarına (imzalayanına) kimliğini kanıtlama şansı 
vermesidir. İnkar edilememe ileride bir işleme veya iletişime kimlerin katıldığını 
kanıtlamanıza imkan vermesidir. Bir dokümanı imzalayan veya o dokümanı alan kişi daha 
sonra söz konusu işlemleri yapmadığını inkâr edemez. Basitçe inkâr-edememe, bir kâğıt 


doküman üzerindeki ıslak imzaya yapılan şahitlik gibi, bilginin yadsınamamasıdır. 


Eğer her iki mesaj özeti aynı 

ise, o zaman mesaj değiştirilme 

miş demektir ve Ali'nin private 
Ali'nin public anahtarı ile imzalanmıştır. 


| anahtarı 
ri 


Şifrelenmiş Açık anahta Mesaj 
—İ Algoritması Özeti 
N- 
: it mi 
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Dijital imza kısaca yazılan mesajın özetinin (digest) gizli anahtar ile şifrelenmesi ve bir sıra 
numarası eklenmiş halidir. Yazılı dokümanlarda kullandığınız imzalar gibi, dijital imzalar da 
günümüzde e-posta veya elektronik verilerin yazarlarını / sahiplerini tanılamada 
kullanılmaktadır. Dijital imzalar, Dijital Sertifikalar kullanılarak yaratılır ve doğrulanırlar. Bir 
bilgiyi imzalamak, güvenli bir alışverişi gerçekleştirmek için kendi özel Dijital Sertifikanıza 


ihtiyaç vardır. 


Dijital Sertifikalar, açık ve özel anahtar çiftinin oluşturduğu Ortak Anahtar Kriptografisi'ne 
dayanır. Özel anahtar sadece sahibi tarafından bilinir ve dijital imzanın yaratılmasında 
kullanılır. Bu anahtarın -aynı kredi kartı örneğinde olduğu gibi- sahibi tarafından mutlaka 
gizli tutulması gerekmektedir. Açık (public — ortak) anahtar ise herkes tarafından bilinir ve 
dijital imzanın geçerliliğini kontrol etmek için kullanılır. Bu anahtarlar numaralardan 
oluşmakta olup bütün bu işlemler bilgisayarınız tarafından otomatik olarak 

yapılırlar. Tanılama, bir kişinin (veya sunucunun, müşterinin...) kimliğini doğrulamadır. Veriyi 
imzalayan kişinin yetkinliğini garanti ederek işleme kimin dahil olduğunu yada mesajın 
gerçekten kimden geldiğini karşı tarafa gösterir. Ayrıca tanılama işleminin doğru olarak 
yapılabilmesi için dijital sertifikayı veren kurumun tarafsız, güvenilir ve dünya çapında 


tanınıyor olması gerekmektedir. 
Dijital imzalı mesaj gönderilirken: 


Gönderici; 

1) Gönderilecek mesajın özetini (digest) alır 

2) gizli anahtarını kullanarak özeti (digest'ı) şifreler ve bir sıra numarası ekler. 
Alıcı; 


1) Alıcı göndericinin açık anahtarını kullanarak şifreyi çözer 
2) Şifre çözüldükten sonra ortaya gönderilen mesajın özeti (digest'i) çıkar 
3) Aynı algoritma kullanılarak mesaj özet işlemine tabi tutulur ve doğruluğu kontrol 


edilir. 
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Fatma 


Ali'nin public 
anahtan 


Belâ 


Ece, mesajın Fatma'dan 
geldiğini doğrular. Özeti 
(digest) görmek için 
Ece'nin açık anahtarıyla 
imzanın şifresini çözer. 
Ece mesajı imzalar. Bir Ayrıca, mesajda ayrı bir 
özet oluşturur. Ardından özet (digest) oluşturur. Bu p. 
imzayı oluşturmak için gizli | iki özetin aynı olup 


anahtarını kullanarak özeti | olmadığını karşılaştırır. 
şifreler ve mesaja ekler. 


Şekil 10.9 Bir mesajın dijital imzalanması 


Şekil 10.9'daki işlem aşağıdaki adımları içerir: 


1. Ece, Fatma'ye göndermek için bir mesaj oluşturur. 


2. Ece mesajı hash etmek (karmak) için bir algoritma kullanır. Hash'li çıktı, özet (digest) 
olarak bilinir. Ece, imzayı oluştururken özeti şifrelemek için özel anahtarını kullanır. (Bir 
dijital imza yaratmak için, imzalayıcı bir hash - mesajın kısaltılmış özel bir versiyonu - 


yaratır ve kendi özel anahtarını kullanarak hash'i şifreler). 


3. İmza mesaja eklenir ve Fatma'ye gönderilir. Şifrelenmiş hash mesaja, "dijital imza" denir. 
Eğer mesaj bir şekilde değiştirilirse, değişen mesajın hash sonucu farklı olacaktır. Dijital 
imza hem mesaj hem de imzayı yaratan özel anahtar için tektir, bu nedenle sahtesi 


üretilemez. 


4. Bunun ardından dijital imza mesaja eklenir ve her ikisi mesajın alıcısına yollanır. 
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5. Fatma imzanın şifresini çözmek için Ece'nin ortak anahtarını kullanır. Bu şifre çözme, 
Ece'nin yarattığı özeti ortaya çıkarır (Alıcı alınan mesajdan tekrar hash'i yaratır ve orijinal 


göndericinin anonin anahtarını kullanarak eline ulaşan mesajdaki hash'i deşifre eder). 


6. Fatma ayrıca orijinal mesajı almıştır, böylece bir özet oluşturmak için aynı hash işlemini 


kullanabilir. 


7. Fatma'nın aldığı mesaj Ece'nin gönderdiği mesajla aynıysa, aynı hash işlemini 
kullanıyorsa her iki özet de aynı olmalıdır. Bu süreç ona mesajın tehlikeye atılmamasını 
sağlar. (Eğer her iki hash sonucu eş ise, iki şey doğrulanmıştır: dijital imza, imzalayıcının 
özel anahtarı kullanılarak yaratılmıştır - ve herhangi birisi kendisini imzalayıcının yerine 


koymaya çalışmamaktadır. 


Bu imzalayıcının yetkinliğini doğrular ve imzalayıcı mesajı imzalamadığını iddia edemez. 
Mesaj değiştirilmemiştir. Bu da mesajın bütünlüğünü doğrular). Bu teknik durumu iyileştirir. 
Ece'nin özel anahtarını kullanarak sağladığı dijital imza, mesajın kendisinden geldiğini 
kanıtlayabilir; aksi halde Fatma, mesajın şifresini çözmek için ortak anahtarını 
kullandığında işe yaramaz. Eşleşen özetler ayrıca mesajın değiştirilmediğini de kanıtlar. 
Şimdiye kadar ortak ve özel anahtar çiftlerinin kullanımını tanımlayan senaryolarda, 
aşağıdaki temel sorular yine de cevaplanmalıdır: 


» Fatma Ece'nin açık anahtarını nasıl alır? 
» Fatma, hash (karma) oluşturmak için hangi algoritmaların kullanılacağını nasıl 
biliyor? 

Bu soruların cevabı dijital sertifikadır. Bu sertifika, ortak anahtar ve algoritmanın 
kapsayıcısıdır. Ayrıca sertifikanın sahibini ve diğer bilgileri de gösterir.Ancak, ortak 
anahtarı ve algoritmayı taşımak için bir sertifikanın kullanılması, sorunu kısmen çözer. 
Sorun, Fatma'nin sertifikanın gerçekten Ece'ye ait olduğunu ve içeriğe güvenebileceğini 
nasıl bilmesi gerektiği nedeniyle sertifika düzeyine taşınıyor? Fatma, Ece'nin sertifikasını 
veren kuruluşa güvenemezse, sertifikaya da güvenemez. 
Bir sertifikaya güvenilecekse, sertifikanın oluşturucusu ve yayınlayıcısı güvenilir olmalıdır. 


CA kavramı burada önemlidir. 
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11.7 Sertifika Sağlayıcıları - CA 


CA, sahibinin kimlik bilgilerini doğrular ve dijital sertifikayı imzalar. CA'nın imzası, sahibin 
söyledikleri kişi olduğunu ve ortak anahtarın onlara ait olduğunu doğrular. CA, kişi veya 
sunucu henüz yapmadıysa, anahtar çiftini oluşturabilir (Şekil 10 - 10). 


Sertifika 
Sağlayıcı 


İş adımları: 


1. Kullanıcı sertifika talep eder 

2. CA isteği doğrular 

3. CA isteği kabul ya da reddeder 
4. CA sertifikayı yayınlar 

5. Kullanıcı sertifikayı alır 

6. Sertifika kullanıma hazırdır 


Şekil 10 — 10 CA dijital sertifikanın oluşturma ve yayınlanması 


Açık elektronik ağlardan dijital imzalı bilgi gönderen kişinin imzasının 
geçerliliğinin/doğruluğunun saptanması için, imzayı atanın açık anahtarı gereklidir. Bu 
nedenle hangi açık anahtarın hangi kullanıcıya ait olduğunun belgelenmesi çok önemlidir. 
Bunun için kullanıcıların açık anahtarlarını ve kimlik bilgilerini onaylama yetkisine sahip bir 
kuruluşa, bir otoriteye gereksinim vardır. CA adı verilen, elektronik sertifika hizmet 
sağlayıcıları kişi ve kurumlara sertifika üreten, dağıtan ve belgelerin yönetimini üstlenen 


güvenilir kurumlardır. 


CA güvenilen bir üçüncü taraf olmalıdır, çünkü bu güven olmazsa sertifikanın anlamı 
kalmaz, aksi halde açık anahtarın gönderene ait olup olmadığının kesin olarak bilinmemesi 
sorunuyla karşı karşıya kalırız. Şekil 10 - 10'da sertifika verilirken uygulanan adımlar 
gösterilmektedir: burada digest: İmzalanacak elektronik verilerin sabit uzunlukta bir 


özetinin çıkarılmasında kullanılan algoritmadır. 
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1. CA, sertifika istemcisinden kimlik bilgilerini toplar ve doğrular. 


2. CAlerin kendilerine ait bir veya birden fazla anahtar çiftleri bulunur. Bu anahtar 
çiftlerinden özel anahtarın yetkili kişiler dışında kimsenin ulaşamayacağı şekilde 
güvenli bir ortamda tutulması ve çok iyi korunması gerekmektedir. Açık anahtar 
ise kullanıcılarda olduğu gibi kök sertifika da denen CA sertifikaları içinde 
bulunur. Her CAtin bir kök sertikası vardır ve CA kök sertifikalarını kamuya 
açarak dizin sunucular( directory services ) gibi herkesin ulaşabileceği 
yerlerde tutmalıdır. 


3. CA, sahibi tarafından oluşturulan açık (public) anahtarla isteği kabul eder. Sahip 
CA'nın anahtarları oluşturmasını isterse, açık (public) ve özel (private) anahtar 


çiftini oluşturur. 


4. CA, herhangi bir kullanıcının kimliğini kontrol ederek, bu kullanıcının hangi açık 
anahtara sahip olduğunu belgeler ve CA'e ait özel anahtarla dijital olarak 


imzalayarak o kullanıcıya ait sertifikayı oluşturur. 


5. Kullanıcı sertifikalarının bir kopyasını herkese açık olan bir erişim bölgesine 


kaydeder. 


Bir elektronik sertifikanın nitelikli olması için aşağıdaki özellikleri taşıması gerekir: 


» Sertifikanın nitelikli elektronik sertifika olduğuna dair bir ibare 

» Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke adı 

» İmza sahibinin teşhis edilebileceği kimlik bilgileri 

» Elektronik imza oluşturma verisine karşılık gelen imza doğrulama verisi (açık 
anahtar) 

» Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihleri 

». Sertifikanın seri numarası 

» Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki maddi sınırlamalara 
ilişkin bilgiler 

» Sertifika hizmet sağlayıcısının sertifikada yer alan bilgileri doğrulayan güvenli 


elektronik imzası. (Her sertifika üzerinde Kamu CA imzası bulunmaktadır.) 
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Örnek bir sertifika çıktısı: 


Digital certificate information for CERTAUTH: 


Label: WebSpherecA 
Certificate ID: 2ÇOiJmzmbhZmjgeaFguKXiIWzhcPB 
Status: TRUST 
Start Date: 2013/12/30 02:00:00 
End Date: 2019/01/01 01:59:59 
Serial Number: 


>00< 


Issuer's Name: 


>CN-WAS CertAuth for Security Domain.OU-BBNBASE< 
Subject's Name: 
>CN-WAS CertAuth for Security Domain.OU-BBNBASE< 


Signing Algorithm: shalRSA 
Key UÜsage: CERTSIGN 
Key Type: RSA 
Key Size: 1024 
Private Key: YES 
Ring Associations: 
Ring Owner: WSCRU1 
Ring: 


>WASKeyring.BBNBASE< 


11.8 Dijital sertifikayı Edinme 


Örneğin, SSL / TLS bağlantılarında kullanmak üzere bir sertifika hazırlamanın üç yolu 


vardır. 


Tanınmış bir CA'den sertifikayı imzalamasını istemekBir sunucu için sertifika talep 
ediyorsanız ve sunucunuzu halka veya iş ortaklarınıza sunmayı planlıyorsanız, 
sertifikanızı iyi bilinen bir CA'dan almalısınız. Daha önce de belirtildiği gibi, iyi bilinen 
CA sertifikalarının zaten CA kök sertifikaları SSL / TLS uygulamalarının varsayılan 


anahtar deposunda bulunur. 


Sertifikayı kendinizin üretmesi (se//signed sertifikalar)Bu sertifika türüne self-signed 
(kendinden imzalı) sertifika denir, çünkü sertifikayı verenle sertifikanın konusuyla 
aynıdır. Bu tür sertifikalar test amacıyla veya intranetinizdeki TLS bağlantılarını 


güvence altına almak için kullanılır. 


Kendinden imzalı bir CA sertifikası oluşturmak ve yerel bir CA olarak çalışmak Bir 
sertifikayı doğrulamak için alıcı, anahtar veritabanını alınan sertifikayı verenle aynı 
DN değerine sahip güvenilir bir kök CA sertifikası için denetler. Kök CA sertifikası 
alıcının yerel veritabanında bulunmalı ve güvenilir olarak (TRUST) işaretlenmelidir. 


Çoğu sistem bu veritabanına anahtarlık olarak başvurur. 
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sunucunun sertifikasını istemciye 
göndermesi gerekir 


Sunucu 
Sertifikası * 


ertifikası 


istemci istendiğinde sertifikasını sunucuya 
gönderir 


Varsayımlar: 


- CAT sunucu sertifikasını imzaladı 
- CA2 istemci sertifikasını imzaladı 


Sertifikası - CA sertifikaları “trsuted” olarak işaretlendi 


Şekil 10 — 11 SSL sertifika yönetimi: CA — imzalı sertifikalar 
Şekil 10 - 11'deki örnekte, istemcinin sunucuya bir sertifika göndermesi, sunucunun istemci 
kimlik doğrulaması gerektirecek şekilde yapılandırıldığını gösterir. Bu çizimde, sunucu 
sertifikasının özel anahtarı SSL sunucusunda bulunmalıdır. İstemcinin veritabanında 


yalnızca kök CA sertifikası CAT içindeki açık anahtar bulunmalıdır. 


Benzer şekilde, client'ın kişisel sertifikasının özel anahtarı yalnızca SSL istemci ana 
bilgisayarındaki anahtarlığında bulunmalıdır. İstemcinin sertifikasıyla eşleşen genel kök CA 
sertifikasının (CA2) SSL sunucusunun anahtarlığında olması gerekir. Kişisel sunucu 
sertifikası ve kişisel istemci sertifikası aynı sertifika olmamalıdır. Ancak, her iki sertifikanın 
da aynı kök CA tarafından imzalanmış olması kabul edilebilir. Başka bir deyişle, CA1 hem 
sunucu sertifikasını hem de istemci sertifikasını imzalamak için kullanılabilir. 


CA imzalı bir sertifika yerine, se/f — signed kendinden imzalı bir sertifika kullanılmak 
istenirse, bu sertifikanın trusted - güvenilir olması gerekir. Sunucunun kendisi kendi 
sertifikasını imzaladıysa ve istemci kimlik doğrulaması gerekmiyorsa, sunucu sertifikası 
(yalnızca ortak anahtar) dışa aktarılmalı ve istemcinin yerel veritabanında güvenilir bir CA 


sertifikası olarak depolanmalıdır, çünkü sunucu sertifikası verenin sertifikası kendisidir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 393/525 


Sunucu sertifikasını istemciye 
göndermelidir 


Sunucu 5 
SSL Server SSL Client 


İstemci kimlik doğrulaması 
gerçekleştirilemez 


Sertifikası Sertifikası 


Şekil 10 — 12 SSL sertifika yönetimi: İstemci kimlik doğrulamasız Self — signed sertifika 
Şekil 10 - 12'de, sertifikanın özel anahtarının yalnızca SSL sunucusu tarafından 


kullanılabilmesi gerekir. İstemci tarafında, yalnızca açık anahtarın bulunması gerekir. 
11.9 Sertifika zinciri 


Tarayıcı bir web sitesinin SSL sertifikasına güveneceğini nasıl anlar? 

Güvenilen bir kökten olan herhangi bir sertifika, uzantıya göre güvenilirdir. 

Bir web sitesine geldiğinizde, tarayıcınız SSL sertifikasına bakar ve sertifikanın gerçekliğini 
doğrulamak için hızlı bir işlem gerçekleştirir. Geçerlilik tarihlerini kontrol eder, sertifikanın 
iptal edilmediğinden emin olur ve sertifikanın dijital imzasının kimliğini doğrular. 
Tarayıcınızın sertifikayı doğrulamak için yaptığı şey, sertifika zincirini takip etmektir. SSL 
sertifikası almak için, bir Sertifika İmzalama İsteği (Certificate Signing Reguest - CSR) ve 
Özel Anahtar oluşturarak işe başlarsınız. Sonra, CSR'yi sertifika yetkilisine gönderirsiniz, 
daha sonra SSL sertifikanızı root sertifikadan özel anahtarla imzalar ve geri gönderir. Artık 
bir tarayıcı SSL sertifikasını gördüğünde, sertifikanın kök deposundaki güvenilir köklerden 
biri tarafından verildiğini (veya daha doğru bir şekilde kökün özel anahtarıyla 
imzalandığını) görür. Köke güvendiği için, kök işaretlerinin bulunduğu herhangi bir 
sertifikaya güvenir. Bu anlattığımız örnekte, sunucu sertifikası doğrudan kök dizinine 


zincirlenmiştir. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 394/525 


11.10 İntermediate (ara) sertifika 


Yukarıda belirtildiği gibi, Sertifika Yetkilileri doğrudan köklerinden sunucu / yaprak 
sertifikaları (son kullanıcı SSL sertifikaları) vermez. Bu kökler çok değerlidir ve çok fazla 
risk vardır. 

Sertifika Yetkilileri, sertifikalarının tehlikeye atılmamasını sağlamak için çok katı güvenlik 
yönergelerine uymak zorundadır. Bu şekilde her CA'nın kök sertifikası güvenlik 
tehlikesinden korunur ve son kullanıcıların sertifikalarını doğrudan imzalamak için 
kullanılmaz. Aksine, tüm CA'lar kök sertifika tarafından imzalanmış ara sertifikaları kullanır 
ve bu sertifikalar son kullanıcıların sertifikalarını doğrulamak için kullanılır. Çoğu CA'nın 
sundukları her sertifika türü için bir ara sertifikası vardır. Beklenmedik bir durumda, bu ara 
sertifikalardan birinin tehlikeye düşmesi halinde, başka bir ara sertifikaya bağlı sertifikalar 
tehlikeye düşmemiş olacaktır. 

Bu nedenle, kendilerini izole etmek için CA'lar genellikle ara kök denilen intermediate 
sertifikalar verirler. CA ara kökü özel anahtarı ile imzalar ve bu da onu güvenilir yapar. 
Ardından CA, son kullanıcı SSL sertifikalarını imzalamak ve vermek için ara sertifikanın 
özel anahtarını kullanır. Kökten orta seviyeye ve oradan son kullanıcıya giden bağlantı bir 


sertifika zinciridir. 


Root Sertifika 


: Intermediate 
imzalar (ara) sertifika 
imzalar SSL Sertifikası 


Şekil 10 — 13 Sertifika zinciri 
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Dijital imza, bu bağlamda bir tür noter dijital formuna benzer. Kök sertifika bir ara sertifikayı 
dijital olarak imzaladığında, temel olarak güveninin bir kısmını ara ürüne aktarır. İmza 
doğrudan güvenilen kök sertifikanın özel anahtarından geldiğinden, otomatik olarak 


güvenilir. 


Bir tarayıcı veya cihaza bir SSL sertifikası sunulduğunda, sertifikanın kendisini ve 
sertifikayla ilişkili açık (public) anahtarı alır. Açık anahtarı kullanarak dijital imzayı doğrular 
ve kim tarafından yapıldığını görür - hangi sertifikanın imzaladığını görür. Muhtemelen 


şimdi bu parçayı birleştirmeye başlayabiliriz. 


Tarayıcınız bir web sitesindeki son kullanıcı SSL sertifikasının kimliğini doğruladığında, 
imzayı doğrulamak ve bir bağlantıyı zincirden yukarı taşımak için sağlanan açık anahtarı 
kullanır. Bu işlemi sonunda tarayıcının sertifika deposundaki kök sertifikalardan birine 
ulaşıncaya kadar tekrarlamaya devam eder - imzayı doğrulamak ve imzalayan sertifikaya 
giden zinciri takip etmek —Sertifikayı güvenilir köklerinden birine geri zincirleyemezse, o 


sertifikaya güvenmez. 
11.11 Rootile intermediate arasındaki farklar 


Bu aslında oldukça basittir. Kök CA, bir veya daha fazla güvenilir köke sahip olan bir 
Sertifika Yetkilisidir. Bu, büyük tarayıcıların sertifika depolarında kökleri olduğu anlamına 
gelir. Ara CA'lar veya Alt CA'lar, ara kök düzenleyen Sertifika Yetkilileridir. Tarayıcının 
sertifika depolarında (örneğin windows'ta certlm) kökleri yoktur, bunun yerine ara kökleri 
güvenilir bir Üçüncü taraf köküne geri zincirlenir. Buna bazen çapraz imzalama denir. 
CA'lar doğrudan köklerinden çıkmazlar. Ara mamuller çıkararak ve daha sonra bunlarla 
sertifika imzalayarak güvenlik katmanları eklerler. Bu, yanlış düzenleme veya güvenlik 
olayı durumunda hasarı en aza indirmeye ve bölümlere ayırmaya yardımcı olur. Bir 
problem anında, Kök sertifikayı ve tam anlamıyla uzantı tarafından imzaladığı her 
sertifikayı iptal etmek yerine, yalnızca bu aracıdan çıkarılan sertifika grubunun 
bozulmasına neden olan aracıyı iptal edersiniz. 

Pratik bir örnek verirsek, Google ve diğer tarayıcılar yakın zamanda Symantec CA marka 


SSL sertifikalarına güvenmedi. Symantec CA'nın tüm köklerini sertifika depolarından 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 396/525 


çıkardılar. Şimdi bu köklere geri zincirleme yapılması gereken sertifikalar başarısız olmakta 
ve güvenilmez hale gelmektedir. (DigiCert'in Symantec'i güzel bir şekilde temizlediğini 


belirtmek gerekir, ancak bu, konumuz için iyi bir gerçek yaşam örneği olmuştur.) 


11.12 Dijital sertifikanın Kullanımı 


Dijital sertifikaların en yaygın kullanımı şekil 10 — 13'de gösterildiği gibi bir web browser ile 


bir web sunucusu arasında olur. 


SSL Handshake 


1. Elizabeth web sitesi ile 
iletişim kurar. Web sunucusu 
Elizabeth'in web browser'ına 
bir sertifika gönderir. 


2. Tarayıcı, gönderenin root CA sertifikasının sertifikaların 
tutulduğu veri tabanında olup olmadığını kontrol eder. Eğer 
sertifika veri tabanındaysa, tarayıcı ve web sunucusu açık ve 
gizli anahtarları kullanarak güvenli bir oturum kurmak için 
bilgi alış-verişinde bulunurlar. 


Tarayıcı bir eşleme bulamazsa, güvenlik 
kullamayı uyararak işleme nasıl devam 
edeceğini sorar. Bazı durumlarda, 
isleme daha fazla devam edilmesi 
engelenebilir. 


Şekil 10 — 14 Bir browser ile web sunucusu arasındaki SSL Handshake 


Elizabeth bir web sitesine erişmek için telefonundaki tarayıcıyı kullanıyor. 'Web 
sunucusunun söylediği kişi olduğunu doğrulaması için tarayıcıya bir sertifika gönderilir. 
Tarayıcıda güvenilir bir sertifika deposu vardır. Sertifikayı veren kuruluş veya CA biliniyor 
ve güvenilirse, tarayıcı ve web sunucusu açık (ortak) ve gizli (özel) anahtarları kullanarak 
güvenli bir oturum ayarlamak için bilgi alışverişinde bulunur. 

Bu işlem Güvenli Yuva Katmanı (SSL) anlaşması olarak bilinir. Tarayıcı bir sertifika 
eşleşmesi bulamazsa, bir güvenlik uyarısı kullanıcıdan nasıl devam edeceği hakkında bilgi 


ister. Bazı tarayıcıların daha fazla devam etmenize izin vermediği 
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durumlar vardır.Dikkat edilirse, burada SSL protokolü terimini değil, SSL el sıkışma terimini 
kullandık. Terimlerin karıştırılmasını ve yanlış kullanılmasını önlemek için aşağıdaki 


noktaları göz önünde bulundurmalısınız: 


»e SSL el sıkışması kim olduğumuzu kanıtlar. 


» SSİ protokolü, birbirimizle iletişim kurmak için konuştuğumuz dildir. 


11.13 Sertifikaları uygulamalara entegre etme 


Yeni bir işletme uygulamasının başka bir uygulamayla iletişim kurması gerektiğini 
varsayalım. İletişimi, Şekil 10-14'te gösterildiği gibi SSL / TLS protokolü ile şifrelemek 
isteyebiliriz. Sertifikalar ve CA'lar platformdan bağımsızdır. Gösterilen CA'lardan bazıları iyi 
bilinen ve güvenilir olabilir, ancak diğerleri kuruluş içindeki özel CA'lar da olabilir. Ancak, 
hepsi SSL / TLS protokolünü kullanıyorsa, kimlikleri SSL anlaşması tarafından 


kanıtlandıktan sonra birbirleriyle iletişim kurabilirler. 


Veri iletişimi gerektiren bir projeyi uygulamaya almadan önce, uygulamanın her bir 
parçasıyla ilgilenen tarafların güvenli iletişim sağlamak için gereken sertifika ve 
anahtarların bir araya getirilmesi konusunda anlaşması gerekir. Üzerinde anlaşmaya 
varılan sertifika ve anahtarlar projenin geliştirme, test ve uygulama aşamalarına izin 
vermelidir. Bu işlem büyük olasılıkla çeşitli veri tabanlarına anahtar ve sertifika koleksiyonu 


oluşturmayı içerir. 


Uygulamalar büyükse, uygulamanın ayrı alanları için çeşitli sertifikalar da gerekebilir. Bu 
sertifikalar uygun anahtarları gerektirir. Koleksiyonların etkili olması için aşağıdaki 


görevlerin yerine getirilmesi gerekir: 


» Anahtar'ların tutulacağı yerin belirlenmesi 


» Hangi sertifikaların ve nerede gerekli olduklarının belirlenmesi 
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Şekil 10 — 15 Cross platform iş uygulaması 


Aşama 1 : keystore'un yerini belirleme 

Uygulamayı inceleyin ve anahtarları depolamak için en iyi yerleri belirlemek üzere nasıl 
yapılandırıldığını görün (birden fazla yer olabilir). Hangi yapılandırmaların kullanılacağını 
tanımlayın ve konumlarını Şekil 10-15'te gösterildiği gibi belirleyin. Her sunucunun kendi 


yapılandırması vardır ve anahtar depoları gibi konumların bilgisini içerir. 


Şekil 10-16 Anahtar depolarının nerede tutulacağını düzenleme 
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Aşama 2: Hangi sertifikaların ve nerede gerekli olduklarının belirlenmesi 
Uygulamaların tüm bölümlerini gözden geçirin ve aşama 1'de tanımlanan işlev ve 


yapılandırmaya göre anahtarları ve sertifikaları uygun depolarda saklayın. 


11.14 Mainframe'de Sertifika Kullanımı İçin Bir Çalışma 
Örneği 


Geleneksel 3270 terminallerinden uygulamalara erişilirken çok sıkı bir denetim uygulansa 
da, Web servis istemcileri uzak konumlarda olacaği için yeni güvenlik sorunlarıyla 
karşılanılabilir. 


Bir CICS Web hizmetleri çözümü uygulanırken, aşağıdaki gibi soruların dikkate alınması 
gerekir: 


» Kimlik doğrulama CICS tarafından mı yoksa WebSphere Application Server gibi 
harici bir sunucuda mı yapılacak? 


»e Güvenlik belirteçleri vermek ve değiştirmek için güvenilir bir üçüncü tarafa mı 
ihtiyacınız var? 


e CİICS sistemine erişimi ve işlemler, dosyalar ve veritabanları gibi kaynaklara erişimi 
korumak için hangi yetkilendirme mekanizmaları kullanılacaktır? 


» Fiziksel yapılandırmanın farklı katmanları arasında aktarılan verilerin gizliliğini nasıl 
koruyacaksınız? 


»e CICS Web hizmetlerinizi korumak için aktarım güvenliği, örneğin SSL / TLS veya 
SOAP mesaj güvenliği mi kullanmalısınız? 

Örnekte, istemci olarak WebSphere Application Server ile sunucu olarak CICS Transaction 

Server arasındaki aktarımın güvenli hale getirilirken sertifikaların nasıl kullanıldığını 


göstereceğiz. 


Öncelikle, güvenliği olmayan bir CICS region'ını alıyor ve bunu işlem güvenliğini 
etkinleştirecek şekilde yapılandırıyoruz (kaynak güvenliği ve komut güvenliği gibi diğer 
CICS güvenliği türlerini uygulamıyoruz). 

Sonra temel CICS güvenliğini ayarlamak için gerekli sistem başlatma tablosu 
parametrelerini belgeliyoruz ve ardından temel güvenlik yapılandırmamızı test ediyoruz. 
Web kullanıcılarından gelen bağlantılar için, bir CICS transaction kullanıcısının 


tanımlanabileceği yollar vardır, bunlar arasında: 
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»e Bir HTTP istemcisi HTTP temel kimlik doğrulama bilgilerini (kullanıcı kimliği ve şifre) 
sağlayabilir. Müşterinin isteğine hizmet veren işlem ve bu işlem tarafından yapılan 


diğer istekler, bu kullanıcı kimliğiyle ilişkilendirilir. 


»e Güvenli Yuva Katmanı (SSL) kullanarak CICS ile iletişim kuran bir istemci programı, 
kendisini tanımlamak için bir istemci sertifikası sağlar. Güvenlik yöneticisi sertifikayı 
bir kullanıcı kimliğiyle eşler. Müşterinin isteğine hizmet veren işlem ve bu işlem 


tarafından yapılan diğer istekler, bu kullanıcı kimliğiyle ilişkilendirilir. 


» Bu aktarım düzeyi kimlik doğrulama mekanizmalarına ek olarak, Web hizmeti 
istemcileri kimlik doğrulama verilerini bir güvenlik belirteci biçiminde de SOAP 
iletisinin içinde geçirebilir. CICS, kullanıcı adı belirteçleri ve X.509 sertifikaları için 


doğrudan destek sağlar 


e HTTPS, sunucunun kendini istemci ile doğrulaması için ve ayrıca istemcinin kendini 


sunucu ile doğrulaması için kullanılır. 


WAS bir istek oluşturur ve HTPPS İstek için URIMAP bulundu. 
ORDS transaction'ı PRIVATO1 kullanıcı 
id'si altında Pipeline EXPIPE01'i 


çalıştırıyor. 
© 


CICSTSV3.2 


kullanarak porta bağlanır CICS SSL El sıkışmasındaki 


0 & Sunucu sertifikası ile yanıt verir 


WebSphere Application (0) 
Server 


> . 
Pp 
Pp 

Responsj 


Responsg 


v 


İ Service provider 
SSL Handshake | 


ceW&pc12 
imzalanan ve şifrelenen mesaj 


CICS'e gönderilir 


Websphere Sunucu sertifikasının RACE Hatası! PRIVATO1 ORDS'i 
güvenirliğini sertifika deposuna i 
CICS serer bakarak onaylar çalıştıramaz. Hata WAS'a döndürülür. 


certiicate 


Şekil 10.17 Server-side SSL senaryosu 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 401/525 


WAS, uygulama Web Servisinin sahte olamayacağını doğrulamak için CICS region'ının 
sunucu sertifikasını doğrular. CICS region, Web Hizmetine yalnızca güvenilir istemcilerin 
erişebilmesini sağlamak için WebSphere Application Server'ın istemci sertifikasını 
doğrular. Pipeline processing'l istemci sertifikası ile ilişkilendirilmiş RACF kullanıcı ID'si 


altında çalışacaktır. 


Buradaki iş adımlarının sırası aşağıdaki gibidir: 


1. WebSphere Application Server bir istek oluşturur ve ardından HTTPS üzerinden CICS'e 
bağlantı başlatır. 


2. CICS sunucu sertifikası ile yanıt verir. Bu, ya CICS region'ının anahtarlık kodunun 
varsayılan sertifikası ya da TCPIPSERVICE üzerinde belirtilen sertifikadır. Bu, şifreleme 
parametrelerinin kabul edildiği SSL El Sıkışma'nın bir parçasıdır. 


3. WebSphere, CICS sunucu sertifikasını alır ve sertifikadaki ayrıntıların sertifikanın 
kaynağıyla (örneğin ana bilgisayar adı) eşleştiğini doğrular. Daha sonra sertifika 
deposunda CICS CA sertifikası olup olmadığını kontrol eder. Bir eşleşme bulursa, CICS 


sunucusuna güvenilir. 
4. SOAP mesajı HTTPS üzerinden gönderilir. Şifreleme ve imza taşıma düzeyinde 
etkinleştirilir. 


5. İleti CICS'e ulaşır ve CICS gelen istekle eşleşen bir URIMAP bulur. URIMAP'tan CICS, 
Web Servisi, Pipeline'ı (EXPIPE01), Transaction! (ORDS) ve kullanıcı kimliğini 
(PRIVAT01) belirler. 


6. PRIVATOT kullanıcı kimliği, ORDS transaction'ını çalıştırmak için RACF yetkisine sahip 
değildir. CICS, bir SOAP hata mesajında WebSphere Application Server ürününe bir hata 


döndürür. 
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VWebSphere Uygulama Sunucusu bir "si 
istek oluşturur ve HTPPS kullanarak © nm e m 
porta bağlanır EXPIPE01 pipeline'ınını çalıştırır. 


İstek için bir URIMAP bulunur. 


CICS SSL ET sıkışmasındaki 
Sunucu sertifikası ile yanıt 
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WAS Certificate 


Şekil 10.18 İstemci yetkilendirmesi SSL senaryosu 


İş adımlarının sırası aşağıdaki gibidir: 


e 


WebSphere Application Server bir istek oluşturur ve ardından HTTPS 
üzerinden CICS'e bağlantı başlatır. 


CICS sunucu sertifikası ile yanıt verir. WebSphere, CICS sunucu sertifikasını 
alır ve sertifikadaki ayrıntıların sertifikanın kaynağıyla (örneğin ana bilgisayar 
adı) eşleştiğini doğrular. 

Daha sonra sertifika deposunda CICS CA sertifikası olup olmadığını kontrol 


eder. Bir eşleşme bulursa, CICS sunucusuna güvenilir. 


WebSphere, istemci sertifikasını anahtar deposundan çıkarır ve CİICS'e 


gönderir. 
SOAP mesajı HTTPS üzerinden gönderilir. Şifreleme ve imza taşıma 
düzeyinde yapılır. 


CICS, CICS anahtarlığında saklanan WebSphere CA sertifikasını kullanarak 
istemci sertifikasını doğrular. Ayrıca istemci sertifikasını USERWS02 RACF 
kullanıcı kimliğiyle eşler. 
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7. CICS gelen istekle eşleşen bir URIMAP bulur. URIMAP'tan CICS, Web 
Servisini, Pipeline'ı (EXPIPE01), Transaction'ı (ORDS) ve kullanıcı kimliğini 


(PRIVAT01) belirler. 


ORDS transaction'l USERWSO02 kullanıcı kimliği kullanılarak eklenir. 


Not: İstemci sertifikasıyla ilişkilendirilmiş bir kullanıcı kimliği, URIMAP tanımında belirtilen 


bir kullanıcı kimliğinden önceliklidir. 


USERWS02 kullanıcı kimliği, ORDS transaction'ınını çalıştırmak için doğru RACF 


yetkisine sahiptir. Web Hizmeti tamamlanır ve WebSphere'e normal bir yanıt iletisi 


döndürülür. 


Bu çalışmada kullanılan sertifikalar aşağıdaki şekilde oluşturuldu: 


1. Sectigo firmasından temin edilen root ve ondan üretilen intermediate sertifika 


aşağıdaki job'la RACF'e ascii olarak alındı. 


— e... 


EZ USERTrust RSA Certification Aut... USERTrust RSA Certification Auth... o 19.01.2038 


a) Sertifika 1.2038 
1.2038 

Genel o Ayrıntılar Sertifika Yolu 1.2038 
1.2038 

SE kr — 2037 
—l Ss 2037 
2077 


//RACADCERR JOB 


Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 
Sunucu Kimlik Doğ... 


Sunucu Kimlik Daâ... 


(VBT) , KAYHAN, MSGCLASS—X, NOTIFY-&SYSUID, CLASS-A 


/1* 
İÇİKKKKKAUKAKAKAKAKAKAKKAKKAKAKAKAKAKAKAKAKKAKKAKAKKAKAKAKA AKAR AKAKKAKAKK 
//* TAIS JOB WILL ADD CERTIFICATES TO RACF ENVİRONMENT 
İÇİKKKAKAUKAKAKAKAKAKAKKAKRKAKAKAKAKAKAKAKKKKAKKAKAKAKAKAKA AKAR AKAAKAKAKX 
//* 
//ADDROOT EXEC PGMZIKJEFTO1, DYNAMNBR-20 
//SYSTSPRT DD SYSOUT—* 
//SYSTSTI DD * 
RACDCERT ADD('SERDKTI.sectigo.root') -— 

CERT > 


WITHLABEL ('LABELO0000002') 


SETROPTS RACLIST(DIGTCERT) REFRESH 
/* 
//ADDCER EXEC PGMZ#IKJEFTO0O1, DYNAMNBR-2 0 
//SYSTSPRT DD SYSOUT-* 
//SYSTST DD * 
RACDCERT ADD('SERDKTI.sectigo.inter') - 


CERT - 
WITHLABEL ('LABELO0000003') 
SETROPTS RACLIST(DIGTCERT) REFRESH 

/* 
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-.y 


emiyee gereği mese 


Sectigo 
DigiCert Global Roo... 
DigiCert Global Roo... 
Go Daddy Root Cer... 
Starfield Root Certif... 
GeoTrust Primary C... 
thawte Primary Roc... 


VeriSicin Universal R... 


root CA root CA oluşturulan ilk sertifikadır. Herhangi bir sertifika zincirinin en 
tepesinde yer alır. root CA zincirin (hiyerarşinin) en altındaki diğer sertifikaları 
imzalamak için kullanılır. Root CA' in benzersiz karakteristiği yayıncının ve subject 


isminin aynı olmasıdır. 


Certificate ID: 2ÇOiJmzmbhZmjgdPBwsXT8PDw8PDW8PJA 
Status: TRUST 
Start Date: 2010/02/01 03:00:00 
End Date: 2038/01/19 02:59:59 
Serial Number: 
>01FD6D3OFCA3CASIA81IBBC640E35032D< 
Issuer's Name: 
>CN-USERTrust RSA Certification Authority.O-The USERTRUST Network.L-Je< 


>rsey City.SP-New Jersey.C-US< 
Subject's Name: 
>CN-USERTrust RSA Certification Authority.O-The USERTRUST Network.L-Je< 


>rsey City.SP-New Jersey.C-US< 
Signing Algorithm: sha384RSA 
Key ÜUsage: 
Key Type: RSA 
Key Size: 4096 
Private Key: NO 
Ring Associations: 
»*X* No rings associated *** 


intermediate CA intermediate CA bir root CA ya da bir başka intermediate CA 


tarafından imzalanmış sertifikadır. Bir başka deyişle, intermediate sertifika root 


sertifika ya da şahsi sertifika olmayan sertifikadır. 
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2. Sentigo firmasından alınan sertifika ile imzalı sertifika *.vbt.com.tr , SİTE sertifika 


olarak RACF'e binary olarak aşağıdaki job'la alındı. 


/ /RACADCER JOB (VBT) , KAYHAN, MSGCLASS-X, NOTIFY-&SYSUID, CLASS-A 
//* 


İÇİKKKAKAKAKAKAKAKAKAKKKAKRKAKAKAKKKAKAKAKAKKAKKAKAKAKAKAKAAKAKAKAKAAKAKX 


//* THIS J0B WILL ADD CERTIFICATE TO RACF ENVİRONMENT 
İŞÇİKKKAKAUKAKAKAKAKKAKAKKAKRKAKAKAKAKAKAKAKAKKAKKAKAKAKAKAKK ARAK AKAAKAKAKK 
Da 
//ADDCER EXEC PGMZ-IKJEFTO1, DYNAMNBR-2 0 
//SYSTSPRT DD SYSOUT—* 
//SYSTSIN DD * 
RACDCERT ADD('SERDKTI.vbt.com.tr') - 
SITE — 
WITHLABEL('VBTplexl CICS') password('Ernestol9') 
SETROPTS RACLIST(DIGTCERT) REFRESH 
RACDCERT LIST(LABEL ('VBTplexl1 CICS')) site 


SİTE sertifikaları RACF ortamına özgüdür. Ekstra bir kontrol seviyesini temsil 
ederler ve pek çok sertifika deposunda mevcut değildirler. Başka depolarda private 
anahtarın tutulması risk oluşturabilir (mesela gskkyman anahtar veri tabanında). 
Eğer private anahtar depoda bulunuyorsa, o zaman herhangi bir kullanıcı ya da 
işlemin bu depoya erişmesi dolayısıyla sertifikanın private anahtarına erişmesi 
olasılığı vardır. RACF'te sadece kullanıcı ID private anahtara erişme hakkına sahip 
bir kullanıcı sertifikası ile ilişkilendirilmiştir. Site sertifikası RACF ortamında özel bir 
kullanıcı ID'dir bu özellik private anahtarın birden fazla kullanıcı ID arasında 


paylaşılmasına izin verir. 


Label: VBTplexl CICS 
Certificate ID: 20iJmZmiiaOFg8WZ150Fp/Ftw8nD4kBA 
Status: TRUST 
Start Date: 2014/06/24 03:00:00 
End Date: 2022/02/24 02:59:59 
Serial Number: 
>7C3A8F656H6CAD298FBB41D02C2395486< 
Issuer's Name: 
>CN-Sectigo RSA Domain Validation Secure Server CA.O-Sectigo Limited.L< 


>-Salford.sP-Greater Manchester.C-GB< 
Subject's Name: 

>CN-* .vbt.com.tr< 
Subject's AltNames: 

Domain: *.vbt.com.tr 
Signing Algorithm: sha256RSA 
Key Usage: HANDSHAKE 
Key Type: RSA 
Key Size: 2048 
Private Key: YES 
Ring Associations: 

»*X* No rings associated *** 
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3. .RACF'e alınan sertifikalar, aşağıdaki 
//CERCONRI JOB (VBT), 'KAYHAN',NOTIFY 

* 
7. LIB SYSI.VBT.SAMPLIB (CERCONRI 
e PN e 
//X ADD A NEW KEYRING TO THE VARIOUS 


i job'la CicsPlexRing ringine CONNECT edildi. 
—&SYSUID, MSGCLASS-X,MSGLEVEL-(1,1) 


) 


KAKA kk kA KKXk 


CLIENTS' RACF ID 
ERVERS' KEYRING. 


, 


//* ADD THE SITE CERTIFIATE TO THE S 
//X TRIS JOB ASSUMES THAT KEYRİNGS A 
//#* VER : Ol DATE: 06/ 
((AKAKKKKKKKKKAKKKKAKKKAKAKKAKAKAAAKX 
//STEPOL1 EXEC PGM-IKJEFTO1, DYNAMNB 
//SYSTSPRT DD SYSOUT—* 
//SYSTSIN DD * 
RACDCERT ID(CICSPSTC) CONNECT (CERTA 
LABEL ('LABELOO00 
RING(CicsPlexRi 
USAGE (CERTAUTH) 
RACDCERT ID(CICSPSTC) CONNECT (CERTA 
LABEL ('LABELOO00 
RING(CicsPlexRi 
USAGE (CERTAUTH) 
RACDCERT ID(CICSPSTC) CONNECT (SITE 
LABEL ('VBTplexl | 
RING(CicsPlexRi 
DEFAULT - 
USAGE (PERSONAL) 
/* 
(ÇAKKKAKKAKAKAKKKKKAKAKK KARAR AKAKAAKKAK 
//STEP02 EXEC PGM-IKJEFTO1, DYNAMNB 
//SYSTSPRT DD SYSOUT—* 
//SYSTSIN DD * 
SETROPTS RACLIST (DIGTCERT, DIGTRING 


/* 


((AKAKKKKKKAKKKKKKKKAKKAKAKKAKAKAKAKK 


//STEPO3 EXEC PGM-IKJEFTO1, DYNAMNB 
//SYSTSPRT DD SYSOUT-* 

//SYSTSIN DD * 

RACDCERT LISTRING(*) ID(CICSPSTC) 
/* 
READY 

RACDCERT LISTRING (CicsPlexRing) 1ID( 


Digital ring information for user CI 


Ring: 
>CicsPlexRing< 
Certificate Label Name 


TSSOR 


VBTplex1 CICS 
LABEL00000002 
LABELO00000003 


READY 
END 


RR BOT 
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RE ASSOCIATED WITH USERID 
/ART/2014 


KAKA kkk kkk k*k 


R-30,REGION-4096K 


WICPSEG 


k* 


ng) 


UTH — 
00003 
ng) 


) 


CICS') 
ng) 


KAKA kkk kkk 


R-30, REGION-4096K 


) REFRESH 


KAKA kA kkkk* 


R-30, REGION-4096K 


CICSPSTC) 


CSPSTC: 


Cert Owner USAGE DEFAULT 
ID(CICSPSTC) © PERSONAL | NO 
ID(CICSPSTC) PERSONAL NO 
SITE PERSONAL YES 
CERTAUTH CERTAUTH NO 
CERTAUTH CERTAUTH NO 


TOM OF DATA 
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11.15 SSL — Güvenli Soket Katmanı 


SSL network üzerindeki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla 
Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. SSL bir istemci — sunucu 
protokolüdür 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün İnternet 
tarayıcılarının (Microsoft Explorer, Netscape Navigator vb) desteklediği bir standart haline 


gelmiş ve çok geniş uygulama alanları bulmuştur. 


SSL gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar. 
Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından 
deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve 


bütünlüğü korunur. 


SSL kodlama için iki anahtar bulunmaktadır. Bu anahtarlar, Sayısal ortamda kodlanmış 
yazılımlardır. Bir anahtarın kitlemiş olduğu veriyi, sadece diğer anahtar açabilir. 
Anahtarlarınızı yarattıktan sonra (SSL default olarak bu işlemi yapmaktadır, sizin herhangi 
bir işlem yapmanıza gerek yoktur), anahtarlardan biri (private key) sizde kalır. Diğer 
anahtar (public key) ise, bağlantı kurmak istediğiniz kişilere gönderilir. Dışarıdan sizinle 
iletişime geçmek isteyen kişi, public key'i kullanarak mesajı güvenli bir şekilde size 
gönderir. Veri, size ulaşmadan, transfer sırasında veriye ulaşılsa bile, şifrenin çözülmesi 


için sizde bulunan private key gerekecektir. 


Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. 
Anahtar uzunluğu bilginin korunması için çok önemlidir. Örneğin; 8 bit üzerinden bir iletimin 
çözülmesi son derece kolaydır. Bit, ikilik sayma düzeninde bir rakamı ifade eder. Bir bit, O 
veya 1 olmak üzere 2 farklı değer alabilir. 8 bit ise sadece 218-256 olası farklı anahtar 
içerir. Bir bilgisayar bu 256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir. SSL 
protokolünde 40 bit ve 128 bit şifreleme kullanılmaktadır. 128 bit şifrelemede 2128 değişik 
anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir. Kötü 
niyetli bir kişinin 128 bit'lik şifreyi çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra 
67 yıl gibi bir zaman harcaması gerekir. 

Bu örnekten anlaşıldığı gibi SSL güvenlik sistemi tam ve kesin bir koruma sağlar. SSL 


protokolü bütün yaygın web sunucuları (server) ve tarayıcıları (browser) tarafından 
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desteklenen bir protokoldür. SSL, standart bir algoritmadır. Milyonlarca web sitesinde 
güvenli veri iletişimi için kullanılmaktadır. SSL fonksiyonun çalışabilmesi için sunucu 
tarafında bir anahtar ve istemci tarafında çalışacak bir sertifikaya ihtiyaç duyulmaktadır. 
Günümüzde SSL 3.0 tüm web tarayıcılar tarafından destekleniyor, örn. IE (Internet 
Explorer), Mozilla Firefox, Opera, Safari gibi. Şifreleme esası açık anahtarlı şifrelemeye 
dayanır. 


İnternette güvenli iletişimin sağlanması maksadıyla kullanılan SSL protokolü geliştirilmiş ve 
isim değiştirerek TLS adını almıştır. TLS protokolü sunucu-istemci uygulamaların ağ 
üzerinde, dinlenmelerin ve asıl verinin üzerinde oynama yapılmasının önüne geçecek 
şekilde (haberleşmesini sağlamaktadır. Uygulama katmanında çalışmaktadır.SSL 
bağlantıları için 27/0S da çalışan TCP/IP profil dataset'i konfigüre edilmelidir. EK.C de 


ayrıntılı bir uygulama verilmiştir: 


11.16 SSL için Mainframe'i Konfigüre Etmek 


Konfigürasyon işlemi sırasında, TCP/IP SSL bağlantısı için bir güvenlik portu ve anahtar 


başvuru veri tabanı tanımlanmalıdır ve VTAM parametrelerine kayıt girilmelidir. 


Aşağıda PROFILE.TCPIP dataset'inin genel bir örneği yer almaktadır. Burada verilen 


genel örnek dataset, sizin kuruluşunuza özgü dataset'ten farklılıklar içerebilir. 


TELNETPARMS ; TN DEFINED SECURE PORT 
SECUREPORT 992 ; DEFAULT CONNTYPE IS SECURE 
CONNTYPE SECURE ; SUPPORT SSL 
EYRING SAF TCPIP/SHAREDRINGI 
CLTENTAUTH NONE ; DO NOT CERTIFICATE/USERID CLIENT AUTHENTICATION 
ENCRYPTTON ; SPECIFY ALLOWED CIPHERS AND ORDER 
SSL NULL MD5 
SSL 3DES SHA 
SSL DES SHA 
ENDENCRYPTTON 
SSLTIMEOUT 10 ; WATT 10 SECONDS FOR HANDSHAKE COMPLETTON 
SSLV2 ; ALLON SSLV2 SECURITY 
DEBUG DETAIL 
ENDTELNETPARMS 
BEGINVTAM 
PORT 23 992 
DEFAULTLUS 


TCP&VPARM.000..TCP&VPARM.999 
ENDDEFAULTLUS 

LINEMODEAPPL TSO 

; ALLOWAPPL TSO* DISCONNECTABLE 
ALLOWAPPL * 

ENDVTAM 
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11.17 SSL Desteği için Mainframe'in yapılan değişiklikleri 
onaylaması 


TCP/IP profil datasetinde değişiklikler yapıldıktan sonra, değişikliklerin yürürlüğe girmesi 
için TOP/IP'nin kapatılıp açılması ya da obey komutuyla değişikliklerin yürürlüğe girmesi 
sağlanır. Bu işlem birkez yapılınca, güvenlik bağlantıları için düzenlenen portun dinlendiği 
görülecektir. Tüm işlemler tamamlandıkan sonra, display telnet profile komutu çalıştırılarak 
portun açık olup olmadığı ve uygun anahtar veri tabanına bağlanıp, bağlanmadığı tetkik 
edilebilir. 


Örnek komut çıktısı: Sample display: 
D TCPIP,TN3270E,T, PROF, PROF-SECURE 


RESPONSE-VBTI 

4722160601 TN3270 PROFILE DISPLAY 756 
PERSIS FUNCTTION DIA SECURITY TIMERS MISC 
(LMTGCAK) (OPATSKTOSSHRTL) (DRF) (PCKLECXN23) (IPKPSTS) (SMLT) 


kkk kAK#*X »**X*TSBTO***RTA*A DC* SSŞŞABAK ADA *P**STS *DD* 


eğe PORT: 992 ACTIVE PROF: CURR CONNS: 2 
FORMAT SHORT 
NOSMFPROFİILE 
TCPIPJOBNAME NO AFFINITY 
TNSACONFIG DISABLED 
KEYRING SAF TCPIP/SHAREDRINGI 
DEBUG TASK EXCEPTION CONSOLE 
DEBUG CONFIG EXCEPTION CONSOLE 
DEBUG CONFIG TRACEOFF 
16 OF 16 RECORDS DISPLAYED 


11.18 Self-signed sertifika oluşturmak 

Güvenlik sertifikaları ( sunucu sertifikaları, site sertifikaları, sayısal sertifikalar, ya da SSL 
sertifikalar olarak da bilinir) yetkilendirme işleminin bir parçası olarak kullanılırlar. 
Sertifikalar sunucunun ya kendi-imzaladığı, ya da bir sertifika sağlayıcısı (CA) tarafından 
imzalanmış olarak elde edilirler. 

Örneğin RACDCERT RACF komutlarını kullanarak ya da gskkyman utility'sini (Bu utility 
UNIX sistem servisleri altında çalışır) kullanarak kendisinin-imzaladığı sunucu sertifikası 


elde etmenin sayısız yolu vardır. 
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Biz burada sertifikanın (self-signed certificate) elde edildiğini kabul edip, diğer adımlara 


geçeceğiz. Ayrıca bu kitabın EK C. Bölümünde örnek verilmiştir. 


11.19 Sertifikanın Transfer Edilmesi 


Kendisinin-imzalı sertifika dosyasını istemcinin bilgisayarına transfer etmek için bir FTP 


istemcisi kullanılmalıdır ( örneğin Microsoft Windows FTP client) ve sonra Internet 


Explorer ile entegre etmek için aşağıdaki adımlar uygulanmalıdır: 


Te Windows'ta , Start'ı tıkla > Control Panel > Internet Options. 


2: Content tab'da, Certificates'i 


tıkla. 


General | Security | Privacy | Content | Connection 


Content Advisor 


Programs | Advanced 


Ratings help you control the Internet content that can be 


viewed on this computer. 
( Bneble... | 


j 


Certificates 


Üe Sert 
7 


a | Use certificates for enarypted connectons and identificatan. 


| Gear SS state || ertiicmtesi || Pubishers 
AutoComplete 
3. Trusted Root Certification Authorities tab'da , Import > Next'l tıkla. 
İnternet OPHONS dd 21) 


Germal| Secuiy | Privacy Content | Connection: | Programs | Advanced | 5 


(Content Advisot 


Ratings help you control #he İrlemet conbert that can be 


Enable... | Setting | 


Ç Certihicates 


ER Use certificates to posüivel; idenliiy yorseli, oatiicatan 
Bihar. ard publisher, 


| ssvedTc.,.,.,-,-c 0 İisswed8y«crcrcrcrcroro İİ Espiratie...Âİ Friend 
ĞSİABA.ECOM Rock CA O ASA.ECOMRooCA 09.07.2009 
El askoriizd Certfica... o Avterided Certficader... 28.05.2009 
EAworkdad Certifica... e Avtoridad Certificador... 29.06.2009 
Besime EZ by DST O BakimereEZbyOsT 03.07.2009 
Eİsekçacom E-Trust Pp... Belgscom E-Trust Prim... 21.01.2010 
EBicaw HKT Secure... C8W HKT Secureflet ... o 16.10.2009 
Blcaw HKT Secure...  CBW HKT SecureNet ... o 16.10.2009 
(EJcaw HKT Secure...  CSW HKT SecureNet ... o 16.10.2010 


Bc HT Secure... 
—-. 


CW MHKT SecureNet ... 


16.10.2009 


Dıt... J Bet | OR | Advanced... | 
7 Certificate intended purposes — 1 
ve | 
e | 
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4. Browse'u tıkla. Sonra self-signed certificate dosyasını seçmek ve görüntülemek için Open'ı 
tıkla. 
© Certificate Import Wizard 


File to Import 
Specify the file you want to import. 


Fie name: 


Note: Mere than one certificate can be storedin a single file in the following formats: 
Personal Informaten Exdhance- PKCS #12 (.PFX..P12) 


5. Next'i tıklave sonra Finish'i tıkla. 
6. "Do you want to ADD the following certificate to the Root Store," sorusu sorulduğunda Yes'i 
tıkla. 


11.20 Browser sertifikalar 


Bir sertifika sadece HTTP / HHTPS protokolü yardımıyla 7/0S PKI servislerinden elde 


edilir ya da talep edilir. Bu son derece hilesiz bir browser sertifikası elde edilmesini 


sağlarsa da sertifikanın kurulması, dağıtılması karmaşık işlemler gerektirir. 


Veb User PKI Administrator 
Zz/OS PKI Services 


protected web site 
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Browser (client) sertifika işlem akışı 
Yukarıdaki şekil browser sertifikaları için tipik bir işlem akışını göstermektedir: 
&i Web kullanıcısı PKCS#10 sertifika talebini yayınlar (1). 
& Talep yönetici tarafından onaylanmak üzere işleme alınır (2). 
# Yönetici talebi onaylamak ya da geri çevirmek üzere inceler (3). 
# Eğer talep onaylanırsa (4) yayınlanır ve veri tabanında tutulur (5). 
#4 Sorgulandığında sertifika Web kullanıcısına geri gönderilir (6). 
& Aynı zamanda bir LDAP dizininde yayınlanır (7). Sertifika yürürlükten kaldırılma 
listesi de aralıksız LDAP'a yayınlanır ( Certificate Revocation List - CRL) 
& Web kullanıcısı sertifikayı bir korunmuş Web sitesi SSL istemci kimlik 
doğrulamasına doğrulatmak için kullanır (8). 
& SSL el sıkışması sertifikayı ve CRL kontrolünü onaylar (9). 
« Eğer her şey düzgünse, kullanıcı erişim hakkını kazanır (10). 


11.21 Sunucu sertifikaları 


Aşağıdaki şekil Web sunucu sertifikalarının tipik işlem akışını göstermektedir: 


Webserver Admin PKI Administrator 
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La Web sunucu yöneticisi PKCS#10 talebi üretmek için sunucuya-özgü yazılım kullanır 
(1a). 

li Bu Web sayfası sertifika talebine kopyalanır (1b) ve yapıştırılır (1c) ve submit edilir . 

e Kuyruklama, onaylama, yayınlama ve sertifikayı getirme adımları 10.1 deki browser 
sertifikalarındakiyle aynıdır (2-7) . 

er Web sunucu yöneticisi sertifikayı Web sunucusuna kurar (8) ve onu online'a getirir. 

ii Web kullanıcıları şimdi SSL-korumalı Web sitesini ziyaret edebilirler (9) . 

ie Eğer istemci doğrulaması açıksa, istemcinin sertifikası LDAP'taki CRL kullanılarak 
onaylanır (10) . 


isi Eğer her şey uygunsa, kullanıcı erişime hak kazanır (11). 
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12. HMC (Hardware Management Console) 


HMC, Sistem z makinelerinin mantıksal bölümlerini (LPAR'lar), giriş / çıkış (Il / O) 
kanallarını ve Sistem z donanımındaki diğer kaynaklar dahil Sistem z makinelerini 
yönetmek için kullanılan bir yönetim konsoludur. Sorun analizi, sistem olaylarının otomatik 
gerçek zamanlı bildirimi ve otomatik yeniden yapılandırma ve onarım için gerekli özellikleri 
içerir. HMC, ayrıca sistem kaynaklarının görünümlerini sağlar ve gerçek zamanlı izleme, 
yedekleme ve kurtarma da dahil olmak üzere sistem yönetimi için yetenekler sunar. HMC, 
sunucu kaynaklarınızı verimli ve etkili bir şekilde yönetmenize yardımcı olan bir yönetim 
çözümüdür. HMC bir konsoldan çok daha fazlasıdır; ayrıca aşağıdakileri sağlayan bir 


donanım platformu arabirimidir: 


» Sistem düzeyindeki hataların analizini yapar. 

e sistem - sunucu düzeyindeki hataların yanı sıra - temel nedeni belirler ve kullanıcıya 
ve IBM Servis sağlayıcısına sorunun, etkisinin, düzeltmenin ve düzeltmenin etkisini 
otomatik olarak bildirir. 

» Sistemin donanım bileşenleri için yapılandırma ve özelleştirme verilerinin otomatik 
olarak yedeklenmesi ve geri yüklenmesini yapar. 

»e Sunucular için, bellenim seviyelerinin, güncellemelerin, yedeklemelerin, herhangi bir 
kullanıcı çabası veya katılımı olmadan güncellemelerin alınması ve eşzamanlı 
olarak uygulanmasını içeren otomatik ve otonom firmware değişim yönetimi yapar. 

» Aynı zamanda son derece güvenilir bir çağrı sunucusudUur. 


»e Sahadaki sistemlerin performansı ve kullanımı hakkında haftalık bilgi verir. 


HMC z Sistem sunucusunun üzerinde bulunan ve Support Element (SE) adı verilen konsol 
aracılığı ile z Sistem sunucusuyla iletişim kurar. Bu iletişim sayesinde HMC'de 
gerçekleştririlen görevler SE'ye gönderilir. HMC, her bir CPC ile SE üzerinden iletişim 
kurar. SE, sistemi izlemek ve çalıştırmak için kullanılan özel bir thinkPad'dir. Sistem z'nin 
entegre bir SE'si vardır; yani SE, CPC'nin bulunduğu kutunun (frame'in) içinde bulunur. Bir 
donanım sorunu meydana geldiğinde, otomatik olarak yük devretme ve birincil SE'den 


alternatif SE'ye geçme olanağı sağlamak üzere, alternatif bir SE de sağlanmıştır. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 415/525 


SE, artı yedek olmak üzere, alternatif bir SE, sistemi izlemek ve çalıştırmak için yerel bir 
konsol sağlamak üzere her Sistem z sunucusuyla birlikte verilir. SE genellikle servis 
personli tarafından sistemde bakım işlemleri yapmak için kullanılır. SE üzerinden iletişim 
yolunu kullanan HMC, CPC'nin, LPAR'ların (mantıksal bölümlerin), | / O'nun (G / Ç'nin) ve 
sistemdeki diğer fiziksel ve mantıksal varlıkların bakım ve operasyonlarına yardımcı olmak 
için çok sayıda işlem ve görev gerçekleştirebilir. 

Sistem yönetimi görevlerini yürütmekten sorumlu ürün yazılımı (firmware) farklı sistem 
bileşenlerinde çalışır: işlemci modülünün kendisi, cage controller ve SE. 

SE, cage denetleyicilerine bir Ethernet üzerinden, yedek bir servis ağı üzerinden bağlanır. 
CPC cage'indeki cage kontrolörleri işlemci modüllerine saat yongasındaki XMsg-engine1 
donanımı ile bağlanır. SE'de bulunan firmware bileşenlerinin, işlemcilerde çalışan firmware 
bileşenleriyle iletişim kurması gerektiğinde, cage denetleyicisindeki firmware ile iletişim 


kurarlar. 
12.1 HMC'de Kullanılan Uygulama 


HMC Uygulamasının birincil rollerinden biri HMC'ye güvenli bir erişim sağlamaktır. Web 
tabanlı grafik kullanıcı arayüzü (GUL), çeşitli System z kaynaklarının yönetimine ve 
kontrolüne izin verir. Son kullanıcıya sağlanan ana kullanıcı arayüzü, bazıları HMC'nin 
kendisini etkileyen, bazıları ise System z kaynaklarını hedefleyen çeşitli görevlerin 
yürütülmesine izin verir. HMC Lisanslı İç Kod uygulamasının tüm özelliklerine erişim 
sağlayan bu kullanıcı arayüzüdür. Ayrıca, bu kullanıcı arayüzü müşteri kullanımı için 
sağlanan tek erişimdir. HMC'de yerel olarak sağlanan web tabanlı kullanıcı arayüzü, bir 
tarayıcı kullanılarak sağlanır. Bu tasarım noktası, ağ üzerinden uzaktaki bir tarayıcıya aynı 
kullanıcı arayüzünü sağlamayı teknik olarak kolaylaştırır. Uzaktan erişime izin verilmesi 
teknik olarak açık olsa da, dikkat edilemsi ve önlem aılınması gereken güvenlik hususları 


vardır. 


12.2 Uzaktan Kullanıcı Erişimi 


HMC'nin web tabanlı GUl'sine uzak bir tarayıcıdan erişilebilmesi için, uzaktan erişimi 
etkinleştiren Customize Console Services görevinin kullanılması gerekir. Uzaktan kullanıcı 
erişimini etkinleştirmek, gelen isteklerin HMC tarafından kabul edilmesini sağlar. 


Varsayılan olarak HMC, ağ düzeyinde gelen tüm (HTTP) isteklerini 
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engeller. Bu özelliğin etkinleştirilmesi yalnızca HMC'nin güvenli, SSL tabanlı HTTP 


isteklerini kabul etmesine neden olur. 


12.3 Web Server Sertifikaları 
HMC'ye tüm uzaktan kullanıcı erişimi SSL şifreli bağlantılar kullanılarak gerçekleştirilir. İlk 


başlatıldığında, HMC uzak kullanıcı bağlantıları için verileri şifrelemek amacıyla 
kullanılabilecek kendinden imzalı bir sertifika oluşturur. Çoğu durumda, bu müşteri için 


yeterlidir ve Güvenlik Yöneticisi (GY) tarafından başka bir şey yapılması gerekmez. 
12.4 Kullanıcı Kimlikleri (User IDS) 


Kullanıcı arayüzüne veya görevlere uzaktan veya yerel olarak erişilebilmesi için, önce 
kullanıcının HMC tarafından kimliğinin doğrulanması gerekir. Bu, bir kullanıcı kimliği ve 
şifre kullanarak HMC'ye giriş yapılarak gerçekleştirilir. Varsayılan olarak, HMC beş 
varsayılan kullanıcı kimliğiyle birlikte gönderilir. Bu beş kullanıcı kimliği, HMC için bir dizi 
geleneksel kullanıcı sınıflandırmasıyla uyumludur. Varsayılan kullanıcı kimlikleri ve 


sınıflandırmaları Tablo11-1'de gösterilmektedir. 


Tablo 121. Varsayılan HMC Kullanıcı ID'leri ve Sınıflandırılmaları 


User ID Classification 

OPERATOR Basic operator 
ADVANCED Advanced operator 
SYSPROG System programmer 
ACSADMIN Access administrator 
SERVİCE Service personnel 


Sağlanan bu varsayılan kullanıcı kimlikleri, çeşitli uzmanlık ve ihtiyaç düzeylerine sahip 
operatörler, idari ve servis personeli tarafından System z kaynaklarının operasyonel 
kontrolüne izin vermek için farklı kullanıcı kimliklerinin nasıl o kullanılabileceğini 
göstermektedir. HMC'nin güvence altına alınabilmesi için bu varsayılan kullanıcı 
kimliklerinin HMC'den kaldırılması veya en azından bu varsayılan kullanıcı kimliklerinin 
şifrelerinin değiştirilmesi gerekir. Ayrıca, güvenlik ve denetim amacıyla, HMC'nin her 


kullanıcısı için kendi kullanıcı kimliğinin olması önemlidir. 
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Daha güvenli bir HMC sağlamak için HMC kullanıcı kimlikleri birden fazla kişi arasında 
paylaşılmamalıdır. Güvenlik Yöneticisi, HMC'nin kullanıcı kimliklerini yönetmek için HMC 
üzerindeki User profiles taskını kullanabilir. Bu task, kullanıcı 

kimlikleri eklemek, kaldırmak ve değiştirmek için beklenen işlevleri sağlamanın yanı sıra, 


bir kullanıcı kimliğinin aşağıdaki özelliklerinin de kontrol edilmesini sağlar: 


:* Kullanıcı kimliği için kullanılacak şifre kuralı 
: Kullanıcı kimliğinin ilişkili olduğu roller 
* Kullanıcı kimliği için kullanılacak şifre 
* Bir kullanıcı kimliğini geçici olarak devre dışı bırakma yeteneği 
. Bir kullanıcı kimliğinin şifresini bir sonraki girişte değiştirilmeye zorlamak 
* Kullanıcı kimliğinin HMC'ye uzaktan erişme yeteneği 
* Kullanıcı kimliğinin geçici olarak devre dışı bırakılmasından önce izin verilen 
yanlış giriş denemelerinin sayısı ve kullanıcı kimliğinin geçici olarak devre dışı 
bırakılacağı süre 
* Etkinlik olmaması nedeniyle bir kullanıcı kimliğinin ne kadar süre önce ve devre 
dışı bırakılacağını kontrol etme (ör. Giriş için kullanılmaz) 
. Kullanıcı kimliği için aşağıdakiler gibi çeşitli zaman aşımları: 
o Şifre değişiklikleri arasındaki minimum süre, 
o hareketsizlik nedeniyle kullanıcı kimliğinin otomatik olarak kesilmesinden 
önceki süre, 
o doğru şifreyi belirterek kullanıcı kimliğinin oturum açma işlemini 
doğrulamak zorunda kalmadan önceki süre ve 
o doğrulama için doğru şifrenin kullanılmaması nedeniyle kullanıcı 


kimliğinin otomatik olarak kesilmesinden önceki süre. 
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12.5 Şifreler 


Şifreleri önemsiz tutmamak, herhangi bir bilgisayar sisteminin güvenliği için önemli bir 
husustur. Tüm kullanıcılar için işe yarayacak bir “kurallar” kümesi yoktur; bu nedenle AMC, 
kullanıcı tarafından sağlanan özel şifre “kuralları” nın tanımlanmasına ve uygulanmasına 


izin verir. HMC Tablo 11 - 2'de tanımlandığı gibi üç varsayılan şifre “kuralı” sağlar. 


Tablo 12 - 2: Varsayılan HMC Şifre Kuralları 


Kural Adı Açıklama 


Basic (Temel) Alfabetik ve sayısal karakterlere izin veren ve en az dört (4) ve en 
fazla sekiz (8) uzunlukta şifre tanımlamaya izin veren basit kural. Bu 
kural temel olarak varsayılan kullanıcı kimliklerinin geleneksel 
şifresinin kullanılmaya devam etmesine izin vermek için verilmiştir. 
Not: Bu, yeni oluşturulan kullanıcı kimlikleri için varsayılan kuraldır. 
Daha güvenli bir HMC için, yeni kullanıcılar şirket için güvenlik 
gereksinimlerini karşılayan bir kural kullanacak şekilde değiştirilmelidir. 


Strict (Sıkı) Alfabetik ve sayısal karakterlere izin veren ve şifrenin alfabetik bir 
karakterle başlayıp bitmesini gerektiren en az altı (6) ve en fazla sekiz 
(8) uzunluğunu tanımlar. Kural aynı zamanda şifrenin arka arkaya iki 
(2) kereden fazla aynı karaktere sahip olmasını engeller ve şifrenin 


süresinin 180 gün içinde dolmasına neden olur. 


Standard Standart En az altı (6) ve en fazla 30 uzunluk tanımlar ve alfabetik, 
sayısal ve özel karakterlere izin verir. Şifre alfabetik veya özel bir 
karakterle başlamalı ve bitmelidir ve arada en az bir alfabetik karakter 
olmalıdır. Kural aynı zamanda şifrenin arka arkaya iki (2) kereden 
fazla aynı karaktere sahip olmasını engeller ve şifrenin süresinin 186 
gün içinde dolmasına neden olur. Ayrıca, şifre kullanıcı için son dört 
(4) şifre ile aynı olamaz ve kullanıcı için son şifre ile üçten (3) fazla 
karakterde aynı olamaz. 
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12.6 Uzaktan Destek 


HMC'nin oynadığı en önemli rollerden biri, IBM ile iletişim kurmanın bağlantı noktası 
olmasıdır. Bir veya daha fazla HMC, yedeklilik için bu bağlantı noktası olarak işlev 
görecek şekilde yapılandırılabilir. Bir HMC'nin IBM ile iletişim kurmasının gerekebileceği 


birçok neden vardır ve bunların bazıları: 


» HMC veya yönetilen bir veya daha fazla Sistem z kaynağı tarafından algılanan 
sorunları bildirme 

»e Sorun analizi için IBM destek personeli tarafından ihtiyaç duyulan ek verileri 
aktarma 

» Yönetilen HMC ve / veya Sistem z kaynakları için ürün yazılımı düzeltmelerini 


indirme 


12.7 Internet Bağlantısı 


İnternet Bağlantısı ile HMC, IBM destek personeline bağlanmak için istemci tarafından 
sağlanan bir İnternet bağlantısı kullanır. Tüm iletişimler TCP soketleri (her zaman HMC 


kaynaklı) üzerinden yürütülür ve gidip — gelen verileri şifrelemek için SSL kullanır. 


Bu İnternet bağlantısını sağlamak için kullanılan HMC'nin ağ arabirimi, yönetilen Sistem Z 
kaynaklarına bağlantı için kullanılanla aynı olmamalıdır. HMC, biri İnternet bağlantısı için 
ve diğeri Sistem z kaynaklarını yönetmek için kullanılabilen birden fazla ağ arabirimi 


sağladığından bu kolayca yapılabilir. 


Güvenlik amaçlı AMC, istemci tarafından yapılandırılmış bir proxy sunucusu aracılığıyla 


İnternet'e bağlanır. 
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12.8 Proxy Server ile Internet Bağlantısı 


— Internet 


IBM IBM Servers 


Şekil 12-1: Proxy Server Kullanılarak Yapılan Internet Bağlantısı 


SSL soketlerini iletmek için proxy sunucusunun temel proxy başlığı işlevlerini ve 
CONNECT yöntemini desteklemesi gerekir. Güvenlik amacıyla, temel proxy kimlik 
doğrulaması, proxy sunucudan soketleri iletmeye çalışmadan önce HMC'nin kimlik 
doğrulaması yapacak şekilde yapılandırılacaktır. HMC'nin başarıyla iletişim kurabilmesi 
için, istemcinin proxy sunucusunun 443 numaralı portuna yapılacak bağlantılara izin 


vermesi gerekir. Proxy sunucusu, HMC'nin bağlanabileceği belirli IP adreslerini de sınırlar. 


12.9 Modem bağlantısı 


HMC, AT&T Global Network'e bağlanmak ve modemi aramak için yapılandırılmış birkaç 
telefon numarasından birini kullanır. Modem bağlandıktan sonra, HMC kendini doğrular ve 
iki modem arasında bir Noktadan Noktaya Protokol (PPP) oturumu oluşturur. PPP oturumu 
bittikten sonra AT&T, “Fenced Internet” üzerinden IP bağlantılarına izin verir. Bu, HMC ile 
IBM hizmet sağlama merkezi arasındaki ağı tamamlar. HMC ve IBM sunucuları arasındaki 
tüm iletişim TCP soketleri üzerinden yapılır. Bu soketler her zaman HMC'den kaynaklanır 
ve gidip - gelen verileri şifrelemek için SSL kullanır. “Fenced Internet” bağlantısı HMC ile 
İnternet arasındaki erişimi sınırlamak için bir firewall kullanır. Özellikle, IBM hizmet 
sağlama merkezine bağlanmak için gereken yetkili IBM IP adresleriyle HMC tarafından 


başlatılan bağlantılarla iletişimi sınırlar. 
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12.10 HMC'ye Erişimi Sağlama 


HMC, müşterinin kullanıcı erişimini ve yeteneklerini yönetmesi için eksiksiz bir kontrol seti 
sağlarken, HMC güvenli olmayan bir yerde oturum açmış durumda kalırsa veya HMC ağ 
üzerinden kolayca saldırıya uğrayabilirse bu eksiksiz sağlanan hizmetlerin hiçbiri önemli 
değildir. Bu nedenlerden ötürü, hem fiziksel hem de ağ güvenliği HMC'nin güvenliği için 


kritik öneme sahiptir. 


12.11 Fiziksel Güvenlik 


HMC'nin bulunduğu yer, yani fiziksel konumu, HMC'nin güvenliğinin sağlanmasında büyük 
rol oynar. Çoğu zaman, HMC, elbette en sıkı güvenliğin sağlandığı güvenli bir odada 
bulunur. Ancak, HMC'nin bulunduğu yerin güvenliğinin sağlanması, HMC'nin etkin olmayan 
kullanıcı kimliklerinin otomatik olarak iptal edilmesi, katı şifre kurallarının kullanılması gibi 


diğer güvenlik özelliklerinden yararlanma ihtiyacını ortadan kaldırmaz. 


HMC Lisanslı Dahili Kod uygulaması tarafından sağlanan güvenlik özelliklerine ek olarak, 
HMC'nin PC platformu, PC'nin PC sabit sürücüsünde yüklü olandan başka bir kod 
kullanarak önyüklenmesini önlemek için ek fiziksel koruma sağlayabilen bazı özellikler de 
sağlar. Bu işlevler temel olarak PC'deki Temel Giriş Çıkış Sisteminin (BIOS) bir parçası 
olarak sağlanır: 
* Kompakt disk (CD) veya disket gibi çıkarılabilir ortamlardan boot edilmesini 
önlemek için BIOS'ta başlangıç aygıtı ayarlarını değiştirin. 
Not: Bu güvenlik düzeyi kullanılırsa, sabit disk restore ve Engineer Change EC 
yükseltmeleri gibi IBM servis personeli tarafından kullanılan, sık olmayan birkaç 
işlem için bu ayarın devre dışı bırakılması gerekir. 
* BIOS ayarlarında yetkisiz değişiklikleri önlemek için BIOS'ta açılış parolası konabilir. 
* Beklenmedik bir kesinti sonrasında poweron'dan sonra HMC'nin poweron şifresi 
olmadan yeniden başlatılmasını sağlamak için BIOS'ta katılımsız başlatma modu 
ayarlanabilir. Ancak, HMC'deki klavye ve mouse, açılış parolası girilene kadar kilitli 


kalacaktır. 
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12.12 Network Güvenliği 


HMC'nin, kendisiyle ilişkili Sistem z kaynaklarını yönetebilmesi için bir ağa bağlı olması 
gerekir. Bazı durumlarda, yönettiği Sistem z sunucularının yakınında bulunan HMC'ler için, 
bu ağ “özel” bir ağdır. Ancak, bir müşterinin birden fazla veri merkezi varsa veya HMC'yi 
şirket intranetine uzaktan erişime izin verecek şekilde bağladıysa, o zaman ağ güvenliği 
çok önemli olur. HMC çok bağlantılı bir makine olabileceğinden (örneğin, birden çok ağ 
arabirimi vardır), aynı zamanda Sistem z kaynaklarını ve şirket İntranet'ini içeren bir “özel” 
ağa da bağlanabilir. Aslında bu çok yaygın bir müşteri yapılandırmasıdır, çünkü Sistem Zz 
kaynakları için bir miktar fiziksel ayırma sağlarken aynı zamanda uzaktan erişim ve 
uzaktan destek için İnternet bağlantısı gibi gelişmiş HMC özelliklerinin kullanılmasına izin 


verir. 


HMC Uygulaması, HMC'ye ağ erişimini kontrol etmek için kullanılan tam işlevli bir firewall ( 
güvenlik duvarı) içerir. Daha önce açıklandığı gibi, HMC varsayılan olarak neredeyse hiç 
ağ trafiğine izin vermez. HMC'nin farklı özellikleri etkinleştirildiğinden (ör. Uzaktan erişim, 
SNMP tabanlı otomasyon vb.), ek olarak gelen ağ trafiğine izin verilir. HMC, gelen ağ 
trafiğine izin vermek için bir dizi TCP / IP bağlantı noktası kullanır.Bu gelen taleplere ek 
olarak HMC, yönettiği Sistem z kaynaklarına ve diğer HMC'lere de talepler başlatır. HMC, 


giden ağ trafiğine izin vermek için bir dizi TCP / IP bağlantı noktası kullanır 


12.13 HMC'nin İletişimleri 


Network açısından HMC, tüm iletişimleri için TCP / IP kullanır. Hem İnternet Protokolü, 
Sürüm 4 (IPv4) hem de İnternet Protokolü, Sürüm 6 (IPv6) HMC tarafından tamamen 
desteklenmektedir. Gelen veya giden fonksiyonları kullanırken, müşteriye ait güvenlik 
duvarı rollerindeki kuralları tanımlamak gerekebilir ve hem IPv4 hem de |IPv6 
protokollerinin kullanılması, bu protokollerin her biri için kuralların tanımlanmasını 
gerektirebilir. Ayrıca, HMC çeşitli Sistem z kaynakları için bir yönetim odak noktası olsa da, 
HMC herhangi bir IP yönlendirme yeteneği sağlamaz. Çeşitli Sistem z kaynaklarının 


yönetimi, HMC ile kaynaklar arasında ağ iletişimi gerektirir. Bu iletişimin güvenli olması 
önemlidir. System z kaynaklarının her biri için farklı ağ iletişimi türleri vardır. 
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12.14 HMC'nin Verilerini Kayıt Altına Alma ve Denetleme 


HMC gibi bir bilgisayar sisteminin güvenlik özellikleri anlaşılsa ve güvenilir olsa bile, 
sistemin güvenliğinin gerektiği gibi çalıştığından emin olmak için izlenebilmesi ve 
denetlenebilmesi için bazı imkanların bulunması gerekir. Bu nedenle, HMC güvenlikle ilgili 
önemli olayları günlüğe kaydeder. Müşteri bu güvenlik olaylarını görüntülemek için View 
Security Log Task'ı ve Format Security Logs to DVD-RAM task'ı kullanabilir. 


Güvenlik günlüğü (security log), güvenlikle ilgili olaylar için entriler içerir. Güvenlik 


günlüğünde bulunan olay türlerini gösteren kısa bir liste aşağıdadır: 


* Kullanıcı oturum açma / oturum kapatma 

» Başarısız oturum açma denemeleri 

* Parola değişiklikleri 

* Kullanıcı kimliklerinin oluşturulması, silinmesi, değiştirilmesi 

* Kullanıcı rollerinin oluşturulması, silinmesi, değiştirilmesi 

» System z sunucu etkinleştirme profillerinin oluşturulması, silinmesi, değiştirilmesi 
* Change management yönetim etkinliği 

* Uzaktan destek çağrıları 


* Firewall tarafından engellenen ağ trafiği 
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13. RACF Kontrol Listesi 


IBM, 7/OS işletim sisteminde, yetkisiz uygulama programlarının, alt sistemlerin ve 
kullanıcıların, Z7/OS güvenliğini atlamasını önleyecek, yani kurulum tarafından izin 
verilmediği sürece, onların anahtar durumundaki z/OS sistem proseslerini ve kaynaklarının 
kontrolünü ele geçirecek, değiştirecek, devre dışı bırakacak, düzgün çalışmasını 
önleyecek ya da bozacak eylemleri önlemek için süreçler ve kaynaklar geliştirmeyi 
taahhüd etmektedir. 


IBM'in Sistem Bütünlüğü konusundaki uzun vadeli taahhüdü sektörde benzersizdir ve z / 
OS'in sistem güvenliğindeki endüstri liderliğinin temelini oluşturur. z / OS, sisteminizi, 
verilerinizi, işlemlerinizi ve uygulamalarınızı yanlışlıkla veya kötü amaçlı değişikliklerden 
korumanıza yardımcı olmak için tasarlanmıştır. IBM System z, kritik iş yükleri için sektörün 


önde gelen veri sunucusu olmaya devam etmesinin birçok nedeninden biridir. 


IBM bize sunduğu z Sistemini donanım olarak ve işletim sistemi z/OS'u yazılım olarak 
koruyacak her türlü önlemi z / OS “System Integrity - Sistem Bütünlüğü” kapsamında 
almaktadır. Bize düşen görev ise, bizim sorumluluk alanımıza giren kısımların kontrolünü 
ve güvenliğini en iyi şekilde yapmaktır. Bu nedenle, Mainframe güvenliğini yapılandırmak 
için, gerekli kontrollerin neler olduğunu bulup ortaya çıkarmak, bu zor ve zaman alıcı 


süreci mümkün olduğunca kolay hale getirmek için aşağıdaki kontrol listesini hazırladık. 


Bu kontrol listesini hazırlarken, çoğunlukla z / OS ve RACF sistemleri için güvenlik 
yapılandırma kontrolleri olarak Uygulama Yönergelerine ( Security Technical 
Implementation Guidelines - STIG) başvuru yaptık ve kontrol listesinin STIG yönergelerine 
uyumlu olmasına özen gösterdik. RACF kontrol listesinin amacı, RACF'e yapılacak 
güvenlik denetim sonuçlarının, STIG ile uyumlu olacak şekilde, en hızlı, en uygun maliyetli 
ve en doğru yöntemle başarılı geçmesini sağlamaktır. Mainframe sistemlerinin DISA STIG 
ile uyumlu olduğunu doğrulamak, belirli yapılandırmalara bağlı olarak 300'den fazla 


kontrolün yapılmasını gerektirir. 
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Her kontrol için yüzlerce kontrol noktası test edilmelidir. z / OS sistemlerinin, küçük 
kurulumlar için bile doğru yapılandırıldığını doğrulamak için özenle hazırlanmış kontrol 
listelerinin kullanılması ve kontrollerin ciddi yönergelere göre yapılması gerektiği akıldan 


çıkarılmamalıdır. 


Her kullanıcı için bir USER profili oluşturduğunuzdan ve sisteminizdeki korumalı 
kaynaklara erişebilen bir prosedür başlattığınızdan emin olun. 


Korumalı kaynaklara erişen veya kullanıcıların kimliğini doğrulayan her STARTED 
procedure için STARTED procedure tablosunda bir girdi veya STARTED class'da bir profil 
olduğundan ve bu STARTED procedure'ların her birine, yetkilendirilmiş RACF tanımlı bir 


kullanıcı kimliği atandığından emin olun. 


STARTED procedure tablosundaki hiçbir girdinin veya STARTED sınıfındaki profillerin 
privileged özelliği belirtmediğinden emin olun. 


Henüz yapmadıysanız ve kullanıcıların diğer kullanıcılar adına iş göndermelerine izin 


vermeniz gerekiyorsa SURROGATE iş gönderimini kullanıma alın. 


DASDVOL kaynak sınıfında tanımlanan profillerin SYSHIGH ve UACC (NONE) güvenlik 
etiketini belirttiğinden ve erişim listelerine yalnızca uygun güvenilir kullanıcıların dahil 
edildiğinden emin olun. 

Not: Doğrudan erişim aygıtına DASDVOL yetkisi olan bir kullanıcı, volume'ü 


boşaltılabilir veya volume'deki data set'leri yeniden adlandırabilir. 


Aşağıdakilerden herhangi biri için Global Access Checking (Genel Erişim Denetimi) 
tablosunda girişlerin olmadığından emin olun: 

» Erişim için zorunlu erişim kontrolü gerektiren kaynaklar 

». Erişim için discretionary erişim kontrolü gerektiren kaynaklar 

» Erişim seviyesi READ'den daha büyük olanlar 
Not: Global Access Checking Table'ın içeriğini görmek için RLIST GLOBAL (classname) 


komutunu girin, 


FACILITY class'ta IEC.TAPERING kaynağını koruyan bir profilinizin olmadığından emin 


olun. 
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Not: z7/OS DFSMS'nin sürümüne, teyp sürücüsünün türüne ve sisteminizde yüklü 
olan herhangi bir teyp yönetim sistemine bağlı olarak, kullanıcıların yazma 
etkinleştirme halkasını (veya eşdeğerini) çıkarmadan input için teyp data set'i 
açmalarına FACILITY sınıfında IEC.TAPERING adlı profil oluşturarak ve 
kullanıcıların bu kaynağa READ erişim yetkisine sahip olmasına izin vererek, izin 


verebilirsiniz. 


IEC.TAPERING kaynağına yalnızca okumalarına izin verilen teyplere yazma 
yetkisini kötüye kullanmamaları konusunda güvenilebilecek kullanıcılar için erişim 


izni vermelisiniz. 


IEC.TAPERING. Kurulumunuz, teyplerdeki süresi dolmamış verilerin üzerine 
yazılmasını önlemek için bir teyp yönetim sistemine bağlı olmayı seçebilir. 
Genellikle, bir teyp yönetim sistemi yalnızca süresi dolmamış ve içinde veri olmayan 
teyplerin çıktı için açılmasına izin verir. Teyp Yönetim Sistemleri, scratch olmayan 


teyp volume'lerin üzerine yanlışlıkla veri yazılmasını önleyecek olanaklar sunar. 


Yazma halkası veya kartuş sekmesi yazmayı etkinleştirecek şekilde ayarlanmışsa, 
sistem kullanıcının RACF FACILITY sınıfındaki IEC.TAPERING profiline okuma 
yetkisi olup olmadığını kontrol eder. Kullanıcının bu yetkisi varsa, sistem kullanıcıya 


erişim izni verir. 


RDEFİNE FACILITY IEC.TAPERİING UACC(NONE) 


Buna sisteminizdeki tüm kullanıcılar için izin vermek istiyorsanız, UACC (READ) 


belirtin ve PERMIT komutunu atlayın. 


». RACF uzaktan paylaşım özelliğini (RRSF) uzak modda kullanmayın. 


RRSF Node'ları: 
RRSF network'ü bir node koleksiyonundan oluşur. Her node bir veya daha fazla 
MVS sistem image'ından oluşur ve belirli bir RACF veritabanı kullanır. Tüm RRSF 


node'ları, nasıl yapılandırıldıklarına bağlı olarak yerel veya uzak modda çalışır. 
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Yukarıdaki RRSF ağı örneğinde: A, B, C ve E Node'ları kendi RACF 


veritabanlarına sahip MVS sistemleridir. Tekli sistem node'larıdır. 


D node'u, bir RACF veritabanını paylaşan iki MVS sisteminden oluşur. Çok 
sistemli bir Node'dur. 

Node A'daysanız, diğer tüm Node'lar uzak Node olarak kabul edilir ve Node 
A, yerel Node olarak bilinir. RRSF, hem yerel hem de uzak Node'ları 
yönetmenize olanak tanır. 

RRSF node yerel modda çalıştığında, diğer RRSF node'larıyla iletişim 
kuracak şekilde yapılandırılmamıştır. Yerel modda çalışan bir node sınırlı 
uzaktan paylaşım işlevleri sağlar: 

Node'da birden fazla kullanıcı kimliğine sahip kullanıcılar, bu kullanıcı 
kimlikleri arasında şifreleri ve parola ifadesini senkronize edebilir. 

Node'da birden fazla kullanıcı kimliğine sahip kullanıcılar, komutları diğer 
kullanıcı kimlikleri altında çalışacak şekilde yönlendirebilir. 

Kullanıcılar komutları yerel node'daki RACF alt sisteminde çalışacak şekilde 
yönlendirebilir. 


Bir RRSF node uzak modda çalıştığında, diğer RRSF node'larıyla iletişim kuracak 


şekilde yapılandırılır. Uzak modda çalışan bir node, bir ağda RACE işlevlerini 


gerçekleştirmek için RACF uzaktan paylaşım tesisinin tam gücünü sağlar. 
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RRSF'yi yerel modda kullanıyorsanız, aşağıdaki işlemlerden birini yaparak komut 


yönünün kullanılamayacağından emin olun: 


» RRFSFDATAclas'ın aktif olmadığından emin olun. 
» Define the profile DIRECT.* in the RRSFDATA class'ta UACC'si (NONE) olan ve 


erişim listesinde hiç kullanıcı tanımlanmamış olan DIRECT.* profilini tanımlayın. 


» Denetleme seçeneklerini belirleyin: 
Genel denetim, RACF'i OPERATIONS veya grup-OPERATIONS kullanıcılarının 
faaliyetleri, RACF komut ihlallerini ve RACF korumalı kaynaklara erişme denemeleri 
gibi güvenlikle ilgili (o belirli oolayları günlüğe kaydetmeye (veya günlüğe 
kaydetmemeye) yönlendirir. Bu denetleme seçeneklerini ya SETROPTS komutları 
ile ya da RACF panelinden aktif edebilirsiniz. 
o  APPLAUDIT and NOAPPLAUDIT 
» SETRLİST'de APPLAUDIT IS IN EFFECT görülmelidir. 
o  AUDIT and NOAUDIT 
" Tüm aktif class'lar, AUDIT CLASSES altında listeleniyorsa, STIG'e 
göre denetlemede bulgu oluşmaz. Ama, ACTIVE class'lar AUDIT 
CLASSES'da yer almıyorsa bulgu oluşur. 
» Tüm RACF CLASS'larını AUDIT etmek için SETR AUDIT (*) komutu 
girilir. 
o  CMDVIOL and NOCMDVIOL 
" SETRLİST'de ATTRIBUTES 'da CMDVIOL görülmelidir. 


o LOGOPTIONS 
»  SETROPTS LOGOPTLONS(xxxx(Yyyy)) 
“o xxxx ALWAYS, NEVER, SUCCESS, FAILURES, DEFAULT 
»  yyyy. CLASS 
Denetimin aşağıdaki koşullar için yapılmasını belirtebilirsiniz: 
ı ALWAYS 
ı CLASS tarafından korunan kaynaklara erişim girişimleri 


denetlenir. 
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" NEVER 
ı CLASS tarafından korunan kaynaklara erişim girişimleri 
" denetlenmez. (Tüm denetim gizlenir.) 
 SUCCESSES 
ı CLASS tarafından korunan kaynaklara erişmeye yönelik tüm 
başarılı girişimler denetlenir. 
»  FAİLURES 
ı CLASS tarafından korunan kaynaklara erişme girişimlerinin 
tümü denetlenir. 
» DEFAULT 
" Denetim, bir profil varsa kaynağı koruyan profil tarafından 
kontrol edilir. 
o  OPERAUDIT and NOOPERAUDIT 
" SETRLİST'de ATTRIBUTES 'da OPERAUDIT görülmelidir. 
o o SAUDIT and NOSAUDIT 
" SETRLİST'de ATTRIBUTES 'da SAUDİT görülmelidir. 
» ACCTNUM class'ta bir profil tanımlayın. Örnek ACCTNUM 
» ACCINUM class'ı RACLIST yapın. 
». JESSPOOL class'da profiller tanımlayın. JESSPOOL classındaki profiller JES2 
spool'undaki çıktıları okuma, yazıcıdan yazdırma ve silme işlerine kimlerin yetkili 
olacağını belirler. Ayrıca JESSPOOL class'ındaki profiller ile JES komutlarına erişim 


de kısıtlanabilir. 
Örnek: 


Profile: nodeid.userid.jobname.jobid.Ddsid.dsname 


RDEFINE JESSPOOL (*.*, OERD*.**) UACC(NONE) 
PERMIT (**,OERD*.**) CLASS(JESSPOOL) ACCESS(READ) ID(userid or groupid) 
SETROPTS RACLIST (JESSPOOL) REFRESH 


» OPERCMDS class'da profiller tanımlayın. z / OS sistem komutlarına erişimin 


düzgün şekilde kontrol edilmemesi, yetkisiz personelin hassas sistem 
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komutları vermesine neden olabilir. Bu sorun işletim sistemi ortamının bütünlüğünü 


ve kullanılabilirliğini tehdit edebilir ve verilerin gizliliğini tehlikeye atabilir. 


Örnek profiller: 

MVS.ACTIVATE, MVS.DISPLAY.CONSOLES , MVS.DISPLAY.LOGGER 
MVS.DISPLAY.LOGREC,MVS.DUMP, 

MVS.MCSOPER #CONSOLE,RACFVARS class'da profiller tanımlayın. 
RACFVARŞS, bir profildeki belirli karakter dizelerinin yerine kullanılacak değişken 


listelerini tanımlamaktır. 


». Herzaman RACF'ien az çabayla yönetmenin yollarını araştırın, örneğin mümkün 
olduğunca çok kaynağı korumak için tek bir profil kullanmanın yollarını araştırın. 
Bunu yapmanın bir yolu, profil içinde genel bir karakter kullanarak genel bir profil 
tanımlamaktır. Başka bir yol da bir kaynak gruplama sınıfı kullanmaktır. Ancak bu 
konuda, profil içinde bir RACF değişkeni kullanmak ta üçüncü bir yoldur. RACF 
değişken isimleri ampersand (&) ile başlar ve sekiz karakter uzunluğunda olabilir ve 
içinde herhangi bir nokta ya da genel karakter içeremez. & RAC ile başlayamaz. 
RACF değişkenleri, sadece genel kaynak profilleri için kullanılabilir. Data set profil 
isimlerinde kullanılamaz. Bir profil içinde RACF değişkeni içeriyorsa bu isim generic 
profile olarak kabul edilir. RACFVARS mutlaka RACLIST olmalıdır. 


Örnekler: 


JES2.LOCAL.&PAYPRTR, 


Burada &PAYPRTR — PRTO5 & PRT44 

RACEVARS &FN ADDMEM( NYC CLE )X.S&USERVAR.YZ 

PAYU.SUBMIT kaynağı için bir profil tanımlarken profili &U.SUBMIT olarak 
tanımlarsak ve & değişkenini ADDMEM içinde (PAY PAYU) olarak tanımlarsak, 
tanımladığımız profil hem PAY. SUBMIT'i hem de PAYU.SUBMIT'i kapsar: 


&U ADDMEM( PAY PAYU ) 
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SERVAUTH class'da profiller tanımlayın. Çoğu TCP / IP kaynağı, SERVAUTH kaynak 


sınıfında tanımlanan profiller tarafından korunur. TCP/IP tarafından yönetilen 
kaynakları korumak için SERVAUTH class'da tanımlanan profiller kullanılır. SERVAUTH 


class'ı aktif etmek için; 


SETROPTS CLASSACT(SERVAUTH) 


komutu kullanılır. Kaynak class'ın aktif edilmesi demek, bir uygulama (bir user ID 


yerine) bu class tarafından korunan kaynağa erişmeyi denerse RACF tarafından bu 


uygulamaya yetki kontrolü yapılacak demektir. 


Örnekler: 


Liste almak için: 


RL 


SERVAUTH * ALL 


EZB.STACKACCESS.sysname.tcpname 
EZB.NETACCESS.sysname.tcpname.netname 
E4B. PORTACCESS.sysname.tcpname.portname 


EZB.TN3270.sysname.tcpname.PORTnnnnn 


EZB.NETSTAT.sysname.tcpname.netstatoption 
E24B.FRCAACCESS.sysname.tcpname 


EZB.MODDVIPA.sysname.tcpname 


Kullanıcıların tape volume'lerini erişmelerini kontrol etmek için TAPEVOL class'ta 


profiller tanımlayın. 


TEMPDSN class'ı aktif edin. 


SETR CLASSACT (TI 


EMPDSN) 


Bu class, geçici data setlere kimlerin erişebileceğini ve bunları kimlerin 


silebileceğini denetler. TEMPDSN kaynak class'ında tanımlanmış profil yoktur. 
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»e Eğerbir kullanıcı için USER profile'da TSO segmenti tanımlanmışsa, bu TSO 
kaynaklarını korumak için TSOAUTH genel kaynak class'ı tanımlanmalıdır. 
TSOAUTH kaynak class'ı OPER, ACCOUNT, MOUNT, TESTAUTH, CONSOLE ve 
PARMLIB gibi hassas ayrıcalıkları kontrol eder. Bu ayrıcalıkların birçoğu, hassas 
işletim sistemi kaynaklarını değiştirme yeteneği sağlar. Bu ayrıcalıklara erişim 
düzgün şekilde kontrol edilmez ve kısıtlanmazsa, işletim sistemi ortamına ve 


verilere yapılacak müdahalelere ödün verilmiş olur. 


»e Tüm TISOAUTH kaynaklarının ve / veya generic eşdeğerinin belirtilen 


gereksinimlere uygun şekilde korunduğundan emin olun. 


» CONSOLE yetkilendirmesi yetkili sistem personeli ile sınırlı olmalıdır (ör. Sistem 
programlama personeli, operasyon personeli, vb.). MCS konsolları operatör 
komutlarını vermek için kullanılır. MCS konsollarına erişimin düzgün kontrol 
edilmemesi, yetkisiz personelin hassas operatör komutları vermesine neden olabilir. 
Bu MOUNT yetkisi sadece DASD kullanan batch kullanıcılar ile sınırlı olmalıdır. 
OPER yetkisi yetkili sistem personeli (ör. Sistem programlama personeli, operasyon 
ekibi, vb.).PARMLIB yetkisi sadece 7/OS sistem programlama personeli ile sınırlı 


olmalıdır ancak denetçilere READ erişim yetkisi verilebilir. 


» TSOAUTH class RACLIST olmalıdır. TSOAUTH, TSO kullanıcı yetkilerini korumak 
için kullanılır. TSOAUTH class aktif edilmezse, kullanıcı TSO'ya logon olabilir fakat 
JCL ya da MOUNT gibi TSO kullanıcı yetkilerine sahip olamaz. TSOAUTH 


kullanıcıya TSO komutu verme yetkisi verir. 


TSOAUTH class'ta tanımlanabilecek profile örnekleri: 


ACCT ACCOUNT komutu 

CONSOLE Konsol komutları 

JCL SUBMIT, CANCEL, OUTPUT komutları 
MOUNT Dinamik olarak volume mount etme komutu 
OPER OPERATOR komutu 
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PARMLIB Oo PARMLIB komutu 
RECOVER Recover için EDIT komutu 


Örnek: 
SETROPTS CLASSACT (TSOAUTH) 


DEFINE TSOAUTH CONSOLE UACC(NONE) AUDIT(ALL(READ) ) 


ERMIT CONSOLE CLASS (TSOAUT 


U 
O 
'U 


ERKTI) ACCESS (READ) 


onsolu sınırlamak istersek; 


U AU 9 


U 
O 
'U 


ERKTI) ACCESS (READ) 


ERMIT CONSOLE CLASS (TSOAUT 
HEN (TERMINAL (terminal-id) ) 


Bu örnekte, kullanıcı OPERKT1 CONSOLE komutunu sadece belirtilen terminal- 
id'den girebilir. 


Ayrıca OPERPARM segmentini ilgili kullanıcı Class'ı entrisine ayarlayın. 
ALU OPERKTI OPERPARM (AUTH (INFO) ) 


SETROPTS RACLIST (TSOAUTH) 
Örnek: 
RDEFINE TSOAUTH MOUNT UACC (NONE) 


PERMIT MOUNT CLASS(TSOAUTH) ID(USERA USERB) ACCESS (READ) 


Bu tanımla yalnızca birkaç kullanıcı mount komutunu kullanabilir. 
RDEFINE TSOAUTH JCL UACC (READ) 


Bu tanımla, her kullanıcı (özellikle izin verilmeyenler hariç) batch job submit edebilir. 


» TSOPROC class'da profiller tanımlayın. Eğer TSOPROC class aktif olmazsa, 
kullanıcılar TSO'ya login olamazlar. TSOPROC class' UACC READ yetkisi 
verilmedliidir. ((ACC READ yetkisi tüm kullanıcılara logon prosedürü kullanma hakkı 
verir). Örneğin LOGPROC1 logon prosedürü için: 


RDEFINE TSOPROC LOGPROCI UACC (READ) 


». VTAMAPPL class'da profiller tanımlayın. VTAM, 2/OS ortamındaki bütün terminalleri 


ve bunların uygulamalara olan bağlantılarını kontrol eden bir 
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sistem yazılımıdır. TCPIP bile VTAM kontrolü altında çalışır. VTAM mantıksal 
birimler arasında (LU'lar) mantıksal bağlantılar kurarak çalışır. Bir LU genellikle ya 
bir terminal ya da CICS gibi bir programla network'e bir giriş noktasıdır. VTAM 
aracılığıyla terminallerle konuşan programlara applid'ler veya uygulama 
tanımlayıcısı denir. Bir terminalin karşısına geçtiğinizde, CICS gibi bir applid'ye ya 


da TSO'ya bağlanmak istediğinizde sisteme bir istek gönderirsiniz. 


Eğer VTAM sizin terminalinizi ve bağlanmak istediğiniz applid'yi tanıyorsa, bir bind 
komutu göndererek sizin terminaliniz ile applid arasında bir bağlantı oluşturur. Bind 
sonucunda terminalizden girdiğiniz her şey doğruca applid'ye gönderilir. İlk 
yazdığınız şey normal olarak kullanıcı ID'niz ve şifreniz olacaktır. 


VTAM'dan sorumlu sistem programcısı ile veri güvenliği yöneticisinin birlikte 
çalışması gerekmektedir. Aksi taktirde network'ünüz risk altında olmaya devam 
edecektir. Terminalleriniz neredeyse kesinlikle ana sisteme Açık Sistem Adaptörü 
(OSA) ve TCP / IP kullanan TELNET3270 sunucuları aracılığıyla bağlanır. 


Terminal ile TN3270 sunucusu arasındaki protokol TCP/IP dir. Ancak, TELNET3270 
sunucusu ile uygulama arasındaki gerçek mesaj, tünellenmiş veya Kullanıcı 
Datagram Protokolü (UDP) paketinde bulunan bir Sistem Ağ Mimarisi (SNA) 
iletisidir. Daha fazla araştırma yapmak için, Sistem Görüntüleme ve Arama Aracı 


(SDSF) ile iki operatör komutu verebilirsiniz: 


d net,appis 
bu komut VTAM tarafından kullanılan uygulamaları gösterir 
D NET,APPLS 


IST0O97I DISPLAY ACCEPTED 

IST3501I DISPLAY TYPE — APPL MAJ NODES/NAMES 869 

ISTO891I VTAMSEG TYPE - APPL SEGMENT , ACTIV 

1ST3601 APPLICATIONS: 

IST0801I ISTATAOO CONCT ISTNOP ACTIV ISTPDCLU ACTIV 
1ST0801 V32A ACTIV 

1ST0891 VTAMSG2 TYPE —- APPL SEGMENT , ACTIV 

1ST3601 APPLICATIONS: 

IST0801 *?-74* CONCT 

1ST0891 A32TCAS TYPE - APPL SEGMENT , ACTIV 
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1IST3601 APPLICATIONS: 

IST0801 TSOA32 ACTIV TSOA3200 CONCT TSOA3201 ACT/S 
IST0801I TSOA3202 CONCT TSOA3203 CONCT TSOA3204 CONCT 
IST0801I TSOA3205 CONCT TSOA3206 CONCT TSOA3207 CONCT 
IST0801I TSOA3208 CONCT TSOA3209 CONCT TSOA3210 CONCT 


d net,cdrscs 


komutu ise, ağınızın içinde ve dışında harici mainframe'lerden bağlanan oturum 
ortaklarının sayısını görüntüler. Bunlar temelde mainframe'e saldırabilecek sahte 


adaylardır. 


SNA kullanıyorsanız, VTAM başlangıç parametreleri, kaynak tanımları ve diğer yerlerdeki 


çeşitli ayarları incelemelisiniz. 


D NET, CDRSCS 


ISTO97I DISPLAY ACCEPTED 

IST3501I DISPLAY TYPE - CDRSCS 866 

ISTO89I ISTPDILU TYPE - CDRSC SEGMENT ; AÇTI 

1ST4831 CICSLUOI ACTIV , CDRM > ***NA***, NETID — ###NA#** 
1ST0891 ISTCDRDY TYPE — CDRSC SEGMENT , ACTIV 

IST13581 NO ÇUECEFYING MATCHES 

IST0M89I R32A TYPE — CDRSC SEGMENT , ACTIV 

1ST4831 TSOA22 ACTIV , CDRM - V23A , NETID — ##XNAX*#* 
1ST4831I TSOP2 ACTIV , CDRM - V22A , NETID — ##X#NAX*#* 
1ST4831 CICSD2 ACTIV , CDRM - V23A , NETID — ##X#NAX*#* 
1ST4831 CICST2 ACTIV , CDRM - V23A , NETID — ##X#NAXX#* 
1ST4831 CICSD9 ACTIV , CDRM - V23A , NETID — ##XNAX*#* 
1ST4831 CICST9 ACTIV , CDRM —- V23A , NETID — ##XNAX*#* 
1ST4831 CICSTI ACTIV , CDRM - V23A , NETID — ##XNAX*#* 
1ST4831 CICSDI ACTIV , CDRM —- V23A , NETID — ##XNAXX#X* 
1ST4831 FOCUST9 ACTIV , CDRM - V23A , NETID — ##X#NAX*#* 
1ST4831 CONOLT9 ACTIV , CDRM - V23A , NETID — ##XNAX*#* 
1ST4831 FOCUSIK ACTIV , CDRM —- V23A , NETID — ##X#NA#X#* 
1ST4831 CONOLIK ACTIV , CDRM - V23A , NETID — ##XNAX*#* 
1ST4831I FOCUSTM ACTIV , CDRM - V23A , NETID — ##XNAX*#* 
1ST4831 CONSOLTM ACTIV , CDRM - V23A , NETID — ##X#NAX*#* 
1ST4831 ERT1JES2 ACTIV , CDRM - V23A , NETID — ##X#NAX#* 
IST1454I 16 RESOURCE(S) DISPLAYED 

1ST3141 END 


VTAMAPPL ve APPCLU kaynak class'larını kullanıp kullanmadığını görmek için güvenlik 
yazılımınızı da gözden geçirmeniz gerekir. Güvenlik yazılımını ve VTAM ayarlarını 
inceledikten sonra, uygun gördüğünüz koruma düzeyini sağlamanız gerekir. Mesela, 


saldırıları önlemek için firewall — gibi yazılımları (SNA firewall”) kullanabilirsiniz. 
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Şifreleme, güvenlik duvarları ve VPN'lerin bu maruz kalmaya karşı koruma sağlamadığını 


göreceksiniz. 


Her ağdaki VTAM'lar APPN veya Gelişmiş Eşler Arası Ağ İletişimi adlı bir protokol kullanır. 
Buradaki peer'in anlamı iki network'den birinin master ve diğerinin slave olması değil, her 
ikisinin de eş olması demektir. Bu durumun sizin veri merkezinizde nasıl olduğunu 


öğrenmek için VTAM'dan sorumlu sistem programcısına üç soru sormanız gerekir: 


1. Network'ümüzün adı nedir? 


2. Bağlı network'lerin adları nelerdir? 


© 


. Komşu network'ler hangi network'e bağlı 


VTAM Uygulamaları için RACF Profilleri: 

RDEF VTAMAPPL ACICSPI UACC(NONE) OW(CICSADM) 
Burada ACICSP1 bir APPLID örneğidir. 

PE ACICSPI CLASS(VTAMAPPL) ID(CICSPRD) AC (READ) 


SETR CLASSACT(VTAMAPPL) RACLIST(VTAMAPPL) 


VTAMAPPL class RACLIST olmalıdır. CATDSN(FAILURES) seçeneğini aktif edin. Bu 
seçenek katalogsuz data set'lere erişimi önler. 


m 


ETROPTS CATDSN(FAILURES) 


FAİLURES, RACF'in kataloglanmamış bir data sete erişim talebini reddedeceğini belirtir. 


E RASE(ALI) seçeneğini aktif edin. 


Sistemin hassas verileri RACF ile silmesini sağlamak için, silme özelliğini RACF 
SETROPTS komutuyla başlatılabilir. Bu özellik, DASD alanı serbest bırakıldığında DASD 
alanının silinmesini kontrol eder. DASD üzerinde serbest alan kalması, bir data seti 
sildiğinizde (delete) veya data setin bir bölümünü release ettiğinizde meydana gelir. 
SETROPTS bu alanı silmek için aşağıdaki yöntemlerden birini seçer:Sistem bütün serbest 


bırakılan alanı siler. 
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o Sistem eğer RACF data set profilinde ERASE seçeneği kullanılmışsa data 
set'deki boşlukları siler. 
o Sistem hiçbir boşluğu silmez. 


. TÜMÜNÜSİL, veri yönetiminin geçici data set'ler dahil tüm scratch edilmiş data 
set'leri sileceğini belirtir. NOERASE ise delete edildiğinde hiçbir data setin erase 


olmayacağını belirtir. 


Kelimenin tam anlamıyla, erase (silme) verileri temizlemektir, delete (silme) ise, 
kaldırma veya silme anlamına gelir. Teknik olarak ise, bilgisayarlarda delete (sil) 
geçici olarak öğeleri kaldırır. Silinen öğelerin pointer adresleri kalır. Oysa 'erase' 
verinin pointer adresinin de silinmesi ve artık veriye bir daha erişemeyecek şekilde 
öğelerin kalıcı olarak kaldırılmasıdır. 

Bir veriyi delete ettiğiniz zaman o veriye tekrar erişebilmeniz mümkündür ancak 


erase ederseniz tekrar o veriyi elde etmeniz mümkün değildir. 


ERASE, veri yönetiminin, silinen data setlerin ve bu profil tarafından korunan bir 
data setin extendi olan scratch olmuş veya release edilmiş DASD extend'lerinin 
içeriğinin o silineceğini (o belirtir. ALL seçeneği, data set profilindeki silme 
göstergesinden bağımsız olarak tüm data setler'inv (geçici data setler dahil) her 
zaman silindiğini belirtir. Bu seçenek belirlendiğinde, installation exit yordamları bu 


seçeneği geçersiz kılarak hiçbir data setin silinmesini engelleyemez. 


Herhangi bir DASD data setini sildiğinizde (delete) veya release ettiğinizde silinen 
verileri okuyabilecek teknikler vardır. Bu tekniklerin silinen verilerinizi okumasını 
önlemek için, verilerin erase(overwrite) edilmesi en uygun yöntemdirr. Buna erase- 
on-scratch sıfırdan silme fonksiyonu denir. Sıfırdan silme fonksiyonunun amacı, 
verinin silinmiş olduğu device hatalı konfigüre edilse ve farklı bir yazılıma sahip 
farklı bir bilgisayara bağlansa bile, release edilmiş veya silinmiş hiçbir verinin 


herhangi bir bilgisayar yazılımı tarafından okunamamasını sağlamaktır. 
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GENERICOWNER seçeneğini aktif edin. RACF genel kaynak class'larında profil 
oluşturulmasını kısıtlayabilme özelliğine sahiptir. Mevcut bir profilden daha spesifik 
bir profil oluşturulmasını önler. Bunun için SETROPTS GENERICOWNER komutu 
verilmeli ve class'ın sahibi olarak kendiniz için bir çift yıldız (**) profili 


tanımlamalısınız. 


Not: GENERICOWNER operandı, DATASET class'ını etkilemez. Tek tek class'lar 
için etkinleştirilemez. Etkin olduğunda, GENERICOWNER, PROGRAM class ve 


genel kaynak gruplama class'ları dışındaki tüm genel kaynak class'larını etkiler. 


Kullanıcılar eğer JESSPOOL class'ta CLAUTH yetkisine sahipseler kendi 
JESSPOOL profillerini oluşturabilirler. 


Eğer SPECIAL attribute'una sahipseniz, genel kaynak class'ta profiller 
oluşturulmasını kısıtlayabilirisiniz. Bunu yapmak için: 


1. SETROPTS GENERICOWNER komutu girin. 

2. Sahip olarak class için ** profili tanımlayın (Bu, özel yetkiye sahip olmayan 
kullanıcıların class'ta profiller tanımlamasını önler). 

3. Her kullanıcı için, class'ta kullanıcının oluşturmasına izin verilen kaynakların 
alt kümesini kapsayan bir üst profil tanımlayın. Her kullanıcı bu üst profilin 


sahibi olmalıdır. 


Örneğin, ne JALE ne de RAMAZAN SPECİAL ya da group-SPECİAL attribute'una sahip 
olmayan kullanıcılar olsun. Eğer GENERICOWNER seçeneği aktifse ve RAMAZAN 
kullanıcısı NODEA.RAMAZAN.** isimli JESSPOOL profilinin sahibiyse JALE 
CLAUTH(JESSPOOL) attribute'una sahip olsa bile NODEA.RAMAZAN.DATA.** isimli bir 


profil oluşturamaz. 


Kullanıcıların kendi JESSPOOL profillerini oluşturmalarına izin vermek 


SETROPTS GENERICOWNER 


JESSPOOL profillerini oluşturmaya yetkili sistem yöneticisi hariç tüm kullanıcıları 


engellemek için: 


RDE 


FINE JESSPOOL ** OWNER (sys admin id) UACC(NONE) 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 439/525 


Kendi spool data'sı için JESSPOOL profilleri oluşturabilecek her bir kullanıcı için, 
kullanıcının user ID belirterek bir JESSPOOL oluşturun. Profilin sahibini kullanıcı yapın. 
Örneğin kullanıcılar AHMET ve ECE olsun: 


ESSPOOL nodename.SMITA.** OWNNER(AHMET) UACC(NONE 


— 


RDEFIN 


G 


ESSPOOL nodename.ECE.** OWNNER(ECE) UACC(NONE) 


RDEFIN 


Gg 


Kullanıcılara JESSPOOL class'ı için CLAUTH yetkisi verin: 


ALU AHMET CLAUTH(JESSPOOL) 


ALU ECE CLAUTH(JESSPOOL) 
CLAUTH yetkisine sahip kullanıcılar kendi JESSPOOL profillerini tanımlayabilirler: 


RDEFIN 


Gg 


ESSPOOL profile-name OWNER (AHMET) UACC(NONE) 


— 


RDEFIN 


Gg 


ESSPOOL profile-name OWNER(ECE) UACC(NONE 


Burada profile-name Adım 3 'te bu kullanıcı için tanımlanan JESSPOOL profil 


isminden daha spesifiktir. 


Kendi JESSPOOL profillerini tanımladıktan sonra, CLAUTH yetkisine sahip 
kullanıcılar, aşağıdaki PERMIT komutunu kullanarak bu profil tarafından 


korunan spool data set'lerine diğer kullanıcıların erişmesine izin verebilirler: 


PERMIT profile-name CLASS (JESSPOOL) ID(userid / 


groupname) ACCESS () 


e JES(BATCHALLRACF, XBMALLRACF) seçeneğini aktif edin. Bu seçeneğin aktif 


edilmesi, tüm toplu işlerin RACF tanımına sahip olmasını sağlayacaktır. Bu 
nedenle, herhangi bir toplu iş, JOB statement'ında açık bir kullanıcı kimliği ve 
parola gerektirir. Bu RACF komutu, 

SETROPTS JES (BATCHALLRACF) 


bu kontrolün gerçekleşmesini sağlayacaktır. 
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İşletim sistemine gönderilen toplu işler gönderenin KULLANICI Kimliğini 
devralmalıdır. Bu, toplu işi kaynaklara erişmek için bir kullanıcı kimliği ile 
tanımlamaya zorunlu kılacaktır. BATCHALLRACEF, toplu işlerin geçerli bir 
USERİD ile ilişkilendirilmesini sağlar. Bir schedule program aracılığıyla işletim 
sistemine gönderilen işler de sisteme tanımlanmalıdır. Aksi taktirde, bir USERID 


ile ilişkilendirlmemiş bir toplu işin sistem kaynaklarına erişimi sınırlı olacaktır. 


e UID(0)'ı düzgün atayın. z/ OS UNIX olanaklarını kullanan kullanıcılara bazen 
uygun olmasına rağmen, süper kullanıcı yetkisi atanabilir. Süper kullanıcılar tüm 
güvenlik kontrollerini geçer ve file sistemindeki herhangi bir dosyaya erişebilirler. 
Süper kullanıcılar aynı anda çalışan sınırsız sayıda process'e sahip olabilir. 
Başlatılan bir procedure için, bu yalnızca UID'si 0 olduğunda doğrudur. Farklı bir 


UID'ye sahip güvenilir veya ayrıcalıklı bir işlem için geçerli değildir. 


Süper kullancı tanımlamak için en az istenen yöntem, ADDUSER veya ALTUSER 


komutlarının OMVS segmentindeki UID parametresine 0 UID atamaktır. 


Ancak UID(0) atanan kişi özenle seçilmelidir, aksi taktirde bilinçsizce atanmış kişi, 
file sisteme zarar verebilecek komutları girebilir. UID(0) kullanıcı kimliklerine , 
gruplara ve STARTED task'lara atanabilir. 


UID (0) yalnızca z / OS / UNIX çekirdeği (ör. OMVS), z / OS UNIX deamon'ları (örn. 
İnetd, syslogd, ftpd) ve diğer sistem yazılımı daemon'ları gibi sistem görevlerine 


atanmışsa, sorun yoktur. 


UID(0) yine, güvenlik yöneticilerine ve zFS veya HFS tabanlı bileşenlerin bakımına 
(örneğin, SMP / E) tahsis edilmiş sistem programlama hesaplarına atanmışsa yine 


sorun yoktur. 
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NOT: UID (0) ataması, tam zamanlı süper kullanıcı ayrıcalıkları sağlar. Bu, kişisel 
kullanıcı hesapları için uygun değildir. BPX.SUPERUSER kaynağına erişim, kişisel 
kullanıcı hesaplarının süper kullanıcı ayrıcalıklarına kısa süreli erişim elde etmesini 


sağlamak için kullanılır. 


» PROTECTALL(FAILURES) seçeneğini aktif edin. Bu seçenek sadece data set'ler 
için geçerlidir. PROTECTALI işlemi etkin ve FAIL (BAŞARISIZ) olarak 
ayarlandığında, sistem RACF korumalı olmayan bir data set oluşturma veya bunlara 
erişme isteklerini otomatik olarak reddeder. PROTECTALL'u akttif etmek için 


aşağıdaki komutlar girilir. Komutun genel formatı: 


SETROPTS PROTECTALI/FAILURES | WARNING) WARNING seçilirse data set'e erişim 
izni verilir fakat bir uyarı mesajı gönderilir. FALLURE seçilirse, data set RACF 
korumalı değilse erişime izin verilmez. 

SETROPTS PROTECTALL(FAILURES) 


SETROPTS GENERIC(DATASET) 


Standart MVS geçici data set adlandırma kurallarına uyan geçici data setler 
PROTECTALL işleminden hariç tutulur. PROTECTALL, data set'lerin RACF 
korumalı olmasını gerektirir. PROTECTALL seçeneğinin etkin bir şekilde çalışması 
için, genel profil kontrolünü etkinleştirmek üzere GENERİC belirtmelisiniz. Aksi 
takdirde, RACF kullanıcıların yalnızca discrete profiller tarafından korunan data 


set'ler oluşturmasına veya bunlara erişilmesine izin verir. 


»e SYS1.NUCLEUS, SYS1.SVCLIB, LPA ve IMAGELIB kütüphanelerine sadece 
sistem programcıları için WRITE ya da UPDATE ve / veya ALTER gibi daha üst 
seviyede erişim yetkisi verildiğini kontrol edin. Link Pack Area'ya yüklendikten sonra 
LPA modülleri APF onaylı işlevleri gerçekleştirebilir. Bu yetkilendirme, bir programın 
çeşitli düzeylerde güvenlik denetimini atlamasına olanak tanır. Yetkisiz erişim, 


işletim sistemi ortamından ve müşteri verilerinden ödün verilmesine neden olabilir. 
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SYS1.NUCLEUS, sistem başlatma (IPL) programlarının büyük bir bölümünü ve 
master ve alternatif master kataloğa pointer'lar içerir. Yetkisiz erişim, işletim sistemi 


ortamından, müşteri verilerinden ödün verilmesine neden olabilir. 


SYS1.SVCLIB, otomatik olarak APF onaylıdır, sistem SVC'lerini içerir ve ayrıca G / 
Ç ekleri içerebilir. Yetkisiz erişim, işletim sistemi ortamından, Erişim Kontrol 


Programından ve müşteri verilerinden ödün verilmesine neden olabilir. 


SYS1.IMAGELIB ise universal character set (UCS), forms control buffer (FCB) ve 
yazıcı kontrol bilgilerini içeren partitioned bir data set'tir. JES, VPS, JOP vb. gibi 


diğer "yazıcı" kullanıcıları tarafından kullanılır. 


» Sistem REXXLIB Concatenation'ına dahil edilen kütüphaneler düzgün bir şekilde 
korunmalıdır. Sistem REXXLIB birleştirmesine dahil edilen kütüphaneler, önemli 
düzeyde güvenlik bypass yeteneğine sahip program modülleri içerebilir. Yetkisiz 
erişim, işletim sistemi ortamından, RACF'ten ve müşteri verilerinden ödün 


verilmesine neden olabilir. 


REXXLIB concatenation'ına dahil edilen kütüphaneler Global Access Checking 
Table'da yer almamalıdır. Bu kütüphaneler WRITE veya daha yüksek erişim yetkileri 
sadece sistem programcıları için verilebilir. 

Bu kütüphaneler READ yetkisi sadece uygun STARTED TASK'lara, Denetçilere 


verilebilir. 


Ayrıca bu kütüphanelere verielen WRITE ve üzeri erişim yetkileri (başarılı veya 


başarısız) log'lanmalıdır. 


»e SYS1.UADS'e WRIİTE veya daha yüksek erişim hakkı yalnızca sistem 
programcılarıyla sınırlı olmalı ve okuma ve güncelleme erişimi sistem programcısı 
personeli ve / veya güvenlik personeli ile sınırlı olmalıdır. SYS1.UADS, acil 
USERİD'lerin korunduğu data set'tir. Bu, RACF aktif olmasa bile, oturum açma 
işleminin gerçekleşmesini sağlar. Yetkisiz erişim, işletim sistemi ortamından, 


RACF'ten ve müşteri verilerinden ödün verilmesine neden 
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olabilir. SYS1.UADS için RACF data set kuralları, tüm (yani, başarısızlıklar ve 
başarılar) data set erişim yetkililerinin (yani, READ, UPDATE, ALTER ve 
CONTROL) günlüğe kaydedileceğini belirtmelidir. 


SYS1.UADS allocate etme / değiştirme yetkisi, sistem programlama personeli ile 
sınırlıdır. Okuma ve güncelleme erişimi güvenlik personeli ile sınırlı olmalıdır. 


SYS1.UADS'i korumak için gerekli değişiklikler uygulanmalıdır. 


Güvenlik Politikası, SYS1.UADS'ye okuma ve güncelleme yetkisinin sadece sistem 
programcıları ve güvenlik personeli ile sınırlı olmasını ve data set'e yapılan tüm 


erişimlerin günlüğe kaydedileceğini sağlamalıdır. 


» EXIT modülleri içeren Kitaplıklara WRITE veya daha yüksek erişim hakkı (UPDATA 
/ ALTER) yalnızca sistem programcılarıyla sınırlı olmalıdır. Sistem exit'leri, herhangi 
bir sistemde çok çeşitli kullanım ve yeteneklere sahiptir. Exit'ler, sistem içinde 
güvenlik riskleri oluşturabilir, denetim yollarını değiştirebilir ve bireysel kullanıcı 
özelliklerini değiştirebilir. Yetkisiz erişim, işletim sistemi ortamından, RACF'den ve 


müşteri verilerinden ödün verilmesine neden olabilir. 


RACF'i kullanarak, z / OS ortamında kurulu tüm ürün exit'leriyle ilişkili data set'leri 
koruyun. Bu, bir bilgisayar korsanının kütüphaneye rutin ekleme ve muhtemelen bir 
exposure oluşturma potansiyelini azaltır. Sistem programlama personelinin, exit'lerin 
gerekli ve doğru bir şekilde kurulduğunu doğrulamak için tüm z / OS ve diğer ürün 


exit'lerini gözden geçirmesini sağlayın. 


z/ OS ve diğer sistem düzeyi exit'lerin akışlarını içeren kitaplıklara yapılan tüm 
güncelleme ve değişiklik erişiminin RACF'in olanakları kullanılarak günlüğe 
kaydedileceğini doğrulayın. Yalnızca sistem programlama personeli, z / OS ve diğer 


sistem seviyesi exit'lerini içeren kütüphaneleri güncelleme yetkisine sahip olacaktır. 


» PPT (program properties table) modülleri içeren kitaplıklara WRITE veya daha 


yüksek erişim hakkı yalnızca sistem programcılarıyla sınırlı olmalıdır. 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 444/525 


Bazen, uygulama programlarınızın mümkün olduğunca verimli ve güvenli bir şekilde 
çalışması için özel özelliklere sahip olması gerekebilir. Örneğin, fetch protected 
sistem verilerine erişim gerektiren bir uygulama, klasik problem state'de çalışan 
program anahtarı 8 yerine bir sistem anahtarına (0-7) ihtiyaç duyacaktır. Veya 
örneğin, V — R'yi çalıştıramayan ancak gerçek zamanlı değerlendirmeler nedeniyle 
swap out olmaması gereken bir programın nonswappable olarak sisteme 
tanımlanması gerekecektir. Bu programlar için program özellikleri tablosunda (PPT) 
girişler oluşturulur.PPT kuruluşa özel nitelikler gerektiren programların bir listesini 
belirleme imkânı verir. Sistem, başlattığı program için hangi özniteliklerin geçerli 


olduğunu öğrenmek için bu PPT listesini tarar. 


Bazı sistem programlarının özel niteliklerle çalışması gerekir. Örneğin, disk volume 
yedekleme ve kurtarma programları gibi programların, parolayı bilmeden parola 
korumalı data set'lere erişmesi gerekebilir. Program özellikleri tablosu (PPT), bu 
programları ada ve her birine atanan özel özelliklere göre listeler. Bir programın 
PPT entrisinde bulunan özel güçlere atanması için APF onaylı bir kütüphanede 


bulunması gerekir. 


Programın bağlantı düzenleyicisi tarafından ACCODE — 1 olarak işaretlenmesi 
gerekmez. Genellikle, bir programın yüklenmesine ilişkin talimatlar bu programın 
PPT'ye tanımlanmasını belirtmedikçe, program özellikler tablosuna (PPT) program 


eklememeli veya değiştirmemelisiniz. 


PPT'ye bir program eklerseniz veya mevcut bir entrinin özelliklerini değiştirirseniz, 
programın kendisine atadığınız özelliklerle çalışabildiğinden emin olmanız gerekir. 
Örneğin, program koruma anahtarı 8'de çalışmak üzere tasarlanmış bir program, 
programdaki sabit kodlu anahtar özellikleri nedeniyle anahtar o 10'da 
çalıştırılamayabilir. Bu durumda ANAHTAR'ı (10) yaparsanız, program düzgün 
çalışmaz.Sisteminizin üzerinde çalıştığı işlemci program koruma anahtarını 9 


desteklemiyorsa, hiçbir programa anahtar 9 atamayın. 
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Not: z / OS altında, central storage'deki bilgiler multiple storage protect key'ler 
aracılığıyla yetkisiz kullanımdan korunur. Storage'deki key adı verilen bir kontrol 
alanı, central storage'in her 4K alanıyla ilişkilendirilir. Central Storage konumunun 
içeriğini değiştirme için bir istek yapıldığında, taleple ilişkikendirilmiş olan key 
storage protect key ile karşılaştırılır. Key'ler eşleşiyorsa veya program 0 key'inde 
çalışıyorsa, istek yerine getirilir eğer eşleşmezse, sistem isteği reddeder ve bir 


program exception interrupt'ı yayınlanır. 


z/ OS 16 storage protect key'leri. Gerçekleştirilen işin türüne göre özel bir key 
atanır. Key, program status word'ünün (PSW) 8 ila 11 bitlerinde saklanır. Sistemdeki 
her işe bir PSW atanır. 0-7 arasındaki storage protect key'leri z / OS temel kontrol 
programı (BCP) ve çeşitli alt sistemler ve orta katman yazılımı ürünleri tarafından 
kullanılır. Storage protect key 0 ana key'dir. Kullanımı BCP'nin neredeyse sınırsız 
store ve fetch kapasitesi gerektiren kısımlarıyla sınırlıdır. Hemen hemen her 
durumda, central storage yerinin içeriğine erişme veya içeriği değiştirme talebiyle 


ilişkili O storage protect key'i, isteğin karşılanacağı anlamına gelir. 


8 ila 15 arasındaki storage protect key'ler kullanıcılara atanır. Tüm kullanıcılar özel 
adres alanlarında yalıtıldığı için, programları sanal bir bölgede çalışan çoğu kullanıcı 
aynı depolama alanı koruma anahtarını kullanabilir. Bu kullanıcılara V — V (virtual — 


virtual) kullanıcılar denir ve bunlara 8 anahtarı atanır. 


Özellikle, z / OS “System Integrity - Sistem Bütünlüğü”, kurulumun kontrolü altındaki 
bir mekanizma tarafından yetkilendirilmemiş herhangi bir programın store veya fetch 
korumasını atlatma veya devre dışı bırakamaması, RACF tarafından korunan bir 
kaynağa erişmesi ya da yetkili bir durumda (authorized state) kontrolu elde etmesi 
olarak tanımlanır. Bu yetkili durum protection key'i sekizden (8) daha küçük olan 


supervisor state' ya da Authorized Program Facility (APF) yetkili bir durumdur. 
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Supervisor State vs. Problem State (Denetçi Durumu ve Sorun Durumu) 
Supervizor State işletim sistemi ve diğer sistem yazılımları içindir (örneğin güvenlik 
alt sistemleri, performans monitörleri) — Problem State ise TÜM kullanıcı 
programları ( içindir. Donanım, Problem State programlarının supervizor 
instruction'larını çalıştırmasını engeller. Eğer böyle bir durum olursa, Problem State 
programı - ABENDS0C2 kodu ile abend ettirilir. 


Key Kontrollu Koruma 
Her bellek referansı (fetch veya store) için CPU, PSW key'ini storage protect key ile 
karşılaştırır: 


» PSW key'i sıfırsa, fetch ve store erişimine izin verilir 

» Heriki key'de eşleşirse, fetch ve store erişimine izin verilir 

» Eğer key'ler uyuşmazsave fetch biti OFF'sa, fetch erişimine izin verilir, fakat 
store'a izin verilmez ABENDS0C4-4 meydana gelir. 

» Eğer key'ler uyuşmazsave fetch biti ON'sa tüm erişimlere izin verilmez yine 
ABENDS0C4-4 meydana gelir. 


» Activatethe JES(BATCHALLRACF,XBMALLRACF) option 
» Activatethe PROTECTALL(FAILURES) option 
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EK A. RACF Kodunun Kuruluşu 


RACF kodunun sipariş edilmesi ve SMPJE kullanılarak kurulması 
CBPDO 


SoftwareXcel 


 ü & Gi 


CBIPO 


is Kod ve tabloların kurulması 
is Panellerin kurulması 


ii Verilen uyarlama işleri 
© RACF kodunun kurulması için değişik yöntemler vardır: 


4 Standart SMP/E kurulumu. RACF sipariş edilir ve kod diğer ürünlerin 
kurulumunda izlenen yol izlenerek yüklenir. Pratikte bu en az sevilen 
yaklaşımdır, çünkü bu yöntemde çok sayıda işlenmesi gereken PTF ortaya 
çıkabilir. 

& CBPDO, bu yöntem standart SMP/E kurulum prosesini kullanır, fakat RACF 
ürün teybi tüm MVS servisiyle paketlenir. Bu durumda fazladan PTF işleme riski 
ortadan kalkar. 

#s Softwarexcel. Kodun kurulması için gereken uzmanlığı talep edilmesi halinde 
IBM'in System z Software Support linkinden sağlaması. Bu hizmet, IBM 
firmasının soru ve sorunları çözmeye yardımcı olmak için müşterilerine sunduğu 
etkileşimli, gerçek zamanlı ve çevrim içi fonksiyonların entegre bir çözüm 
paketidir. 

is ProductPac ürünle ilgili uygun tüm MVS hizmetlerinin sağlanması. Bu hizmetin 
alınması için siparişle birlikte CSI dump'ının da IBM'e gönderilmesi gerekir. IBM 
bu CSI dump'ına uygun olarak bir ProductPac teybi hazırlayıp, bu teyp ile 
CBIPO'ya benzer tarzda kurulum için gerekli işleri ve dokümanları modelleyip 
gönderir. 

# CBIPO sipariş üzerine hazırlanmış DLIB'leri gönderir. CBIPO kurulduğu zaman, 
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sonuçta sistem RACF kuruluşuna sahip olmuş olur. Bu kuruluş tüm kodu, 
değişik varsayılan tabloları ve panelleri ve bunlarla ilgili mesaj, clist ve çerçeve 
kütüphaneleri içerir. CBIPO kuruluşu sizin adınıza yapacak şekilde hazırlanıp 


gönderilir. 


© RACF önce işletim sisteminin bir kopyası üzerine kurulur. RACF sistem çaplı etkiye 
sahip olduğundan test olarak kurulamaz 


© RACF kuruluşu tamamlandıktan sonra CLPA ile IPL yapılmalıdır. 

İlk defa RACF'in kurulması 
© RACF kodu kurulduktan sonra, IPL den önce RACF veri tabanı oluşturulmalıdır. 
© RACF'e RACF veri tabanının ismi anlatılmalıdır. Bunun iki yolu vardır: 


Tavsiye edilen yol veri tabanı isim tablosu oluşturmaktır. Bu yol asıl ve yedek 
RACF veri tabanı oluşturulmasına izin verdiği için tercih edilen bir yoldur. 
SYS1.SAMPLIB'teki RACINSTL member'ı veri tabanı isim tablosu oluşturmak 
için örnek işi içermektedir. Veri tabanı isim tablosunun adı ICARDSNT dir. 


& İkinci yol sistemin MSTRJCL'inde değişiklik yapmaktır. Bu yol yedek RACF veri 
tabanı oluşturamayacağından tavsiye edilmez. Bu yöntemle sadece bir asıl 


RACF veri tabanına sahip olunur. 


© RACF veri tabanı bir defa oluşturulup katalog lanınca, IRRMINOO  utility'si 


kullanılarak formatlanmalıdır. 
RACF zaten kuruluysa 


kuruluş zaten eski RACF sürümüne sahipse, RACF kuruluşu yeni bir RACF veri tabanı 
oluşturulmasına ihtiyaç duymaz. 
Sadece IRR/ICHMINO0 utility'si çalıştırılarak RACF veri tabanı template'leri yeni sürüme 


dönüştürülür. Herhangi bir şekilde profillerin değiştirilmesine gerek yoktur. 
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RACF alt sistemi aktif etmek 


© SYS1.PARMLIB'teki IEFSSNxx member'ı update edilmelidir. 
© SYS1.PARMLIB'teki SCHEDxx member'ı update edilmelidir. 
© SYS1.PROCLIB'teki RACF prosedürü yeniden düzenlenmelidir. 
RACF kurulduktan sonra; 
© Kuruluşla standart olarak gelen IBMUSER kullanıcısıyla sisteme logon olunur ve 
SPECİAL niteliğine sahip bir kullanıcı ID oluşturulur. 
© İBMUSER kullanıcı ID'sinden logoff olunur. 
© Güvenlik Yöneticisi ID'si ile logon olunur ve aşağıdaki işlemler yapılır: 


is Yedek bir kullanıcı ID'si tanımlanır 

iş RACF seçenekleri belirlenir 

& Gruplar, kullanıcılar, kaynaklar tanımlanır 
&i IBMUSER ID'si REVOKE edilir. 
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EK B. RACF'in ÇALIŞTIRILMA ÖZELLİKLERİ 


Kendi Kullanımınız için Yönetici Kullanıcı ID'si Tanımlama 


RACF'e kendiniz için yeni bir kullanıcı (örneğin, RACFADM) tanımlayın. Bu kullanıcı en az 
SPECI|AL ve OPERATIONS niteliklerine sahip olmalı. Eğer sistem çapında bir 
denetçiyseniz, bu kullanıcı ID'ye AUDITOR niteliği de verilmelidir. Seçtiğiniz niteliklere 


bağlı olarak, aşağıdaki komutlardan birini giriniz: 


ADDUSER RACFADM SPECİAL OPERATIONS 
ADDUSER RACFADM SPECİAL OPERATIONS AUDITOR 


Sadece Olağanüstü Hallerde Kullanılmak Üzere En Az Bir Kullanıcı ID Tanımlama 


Çıkabilecek olağanüstü durumların üstesinden gelmek için, örneğin RACF etkisiz 
olduğunda ya da bütün SPECİAL kullanıcıları revoke olduğunda, en az bir, tercihen iki 
“emergency” kullanıcı ID'leri tanımlanması gerektiği düşünülmelidir. Bu kullanıcı ID'ler 
yönetimin gözetimi altında, olağanüstü durumlar dışında asla kullanılmamalıdır. Bu 
kullanıcı ID'lerin RACF kullanıcı profillerinde hiç TSO segmenti olmamalıve SYS1.UADS 


datasetindeki kayıtları onlara tüm özellikleri vermelidir. 


RACFADM olarak Login Olma, Grupları ve Kullanıcıları Kontrol Etmeve IBMUSER'ın 


Revoke Edilmesi 


RACFADM kullanıcı ID'siyle logon olunur ve varsayılan parola, bu durumda SYS 
kullanılır (BMUSER'un varsayılan grubu). 

Önce, RACF'e sadece RACFADM ve IBMUSER in tanımlı olduğundan ve bu 
kullanıcıların uygun özellikleri aldıklarından emin olmak için tüm kullanıcılar 
listelenir. 

LISTUSER* 


Bu aşamada, kullanılan parolanın zaman aşımına uğradığına dair bir mesaj alınır. 


Hemen SYS1 parolası yeni bir parolayla değiştirilir. 
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Sonra, RACF'e tanımlanan tüm gruplar listelenir: 
LISTGRP* 


RACFADM listelenen gruplara bağlanır ve RACFADM bu grupların sahibi yapılır: 


CONNECT RACFADM GROUP(SYS1) AUTH(JOIN) 

CONNECT RACFADM GROUP(SYSCTLG) AUTH(JOIN) 

CONNECT RACFADM GROUP(VSAMDSET) AUTH(JOIN) 

ALTGROUP SYS1 OWNER(RACFADM) 

ALTGROUP SYSCTLG OWNER(RACFADM) 

ALTGROUP VSAMDSET OWNER(RACFADM) 

Sonra, IBMUSER kullanıcı ID'si bir başka kullanıcının kullanamaması için revoke 
edilir: 

ALTUSER IBMUSER REVOKE 

Not: IBMUSER kullanıcı profili silinemez. 


Asistan olarak görev yapacak bir diğer kullanıcı RACF'e tanımlanır (örneğin, 
kullanıcı ID RACFAD2). Yeni kullanıcının varsayılan grubu SYS1 yapılır ve bu 
asistana SPECIAL ve OPERATIONS kullanıcı nitelikleri verilir. 


ADDUSER RACFAD2 DFLTGRP(SYS1) AUTH(JOIN) SPECİAL OPERATIONS 


İlk Kullanıcılar için Gerekli Grupların Tanımlanması 
Bu aşamada ihtiyaç duyulan grupların oluşturulması düşünülmelidir. 


Aşağıdaki komutlar dört grubun RACF'e katılması ile ilgili bir örneği göstermektedir. Üç 
tanesi departmana ait gruptur (GRUP1, GRUP2 ve GRUP3) GRUP2 ve GRUP3'ün sahibi 
GRUPT1 dir böylece belirli yetkiler dağıtılabilecektir. Dördüncü grup (DATAMGT) global 
pack maintenance sorumluluğuna sahiptir. 


ADDGROUP (GROUP1 DATAMGT) 


ADDGROLUP (GROUP2 GROUP3) OWNER(GROUP1) SUPGROUP(GROUP1) 
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Sistem Denetçisi Tanımlamak 


Sistemi denetleme sorumluluğuna ve haklarına sahip bir kullanıcı tanımlamak için 


aşağıdaki komut kullanılır. 


ADDUSER AUDCCC AUDITOR 
Gruplar ve Kullanıcılar tanımlamak 


GRUP3'e protect group dataset'ler yetkisine sahip bir kullanıcı (DO3DIK) eklensin. 
ADDUSER DO3DIK OWNER(GROUP3) AUTH(CREATE) DFLTGRP(GROUP3) 


Grup Yöneticileri, Grup Denetçileri ve Veri Yöneticileri Tanımlamak 


Her grup için group-SPECİAL niteliğine sahip bir grup yöneticisi tanımlansın. Sadece 
GRUP1'in yöneticisi bu grup içinde yeni kullanıcılar tanımlama yetkisine sahiptir. Diğer 
yöneticilerin her biri kendi gruplarının sahipliğini yaptıkları kaynaklar üzerinde yetkiye 


sahiptir. 


ADDUSER DO1RHG DFLTGRP(GROUP1) CLAUTH(USER) DATA('GROUP1 ADM') 
CONNECT DO1RHG GROUP(GROUPT1) AUTH(JOIN) SPECLAL 

ADDUSER DO2JMP DFLTGRP(GROUP?2) DATA('GROUP2 ADM') 

CONNECT DO2JMP GROUP(GROUP2) AUTH(CREATE) SPECİAL 

ADDUSER DO3ABL DFLTGRP(GROUP3) DATA('GROUP3 ADM') 

CONNECT DO3ABL GROUP(GROUP3) AUTH(CREATE) SPEC|AL 


GRUP1, GRUP2 ve GRUPS3 grupları için bir grup-denetçisi tanımlansın. Bu kullanıcı 
GRUP1'e bağlansın ve kullanıcıya group-AUDITOR niteliği verilsin. GRUP2 ve GRUP3'ün 
sahipliği GRUP1 de olduğu için, kullanıcı bu gruplara ait olan kullanıcılar ve kaynaklar 
üzerinde GRUP1'inki kadar odenetleme yetkisine sahiptir. Bu kullanıcı diğer başka 


gruplarda denetleme yetkisine sahip değildir. 


ADDUSER D01GPB DFLTGRP(GROUP1) DATA(AUDITOR G1 G2 G3') 
CONNECT D01GPB GROUP(GROUP1) AUDITOR 


Veri yönetme grubundaki yönetici, veri yöneticisi dump, restore ve veri temizleme 


işlemlerini yerine getirmek için RACF'e DASD volume'lerini tanımlama erkine sahiptir. 
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ADDUSER DMGJFS DFLTGRP(DATAMGT) AUTH(JOIN) CLAUTH(USER DASDVOL) 
DATA('DATA MGT ADM') 


Görevi gereği, veri yöneticisi, erişim listelerindeki SYS1 'lı dataset'lere erişimi yönetmeye 
izin vermek ve SYS1 dataset profillerini RACF'e tanımlamak için SYS1'a bağlanmıştır. 


Veri yöneticisi SYS1 grubunda group-SPECIAL niteliğine sahiptir. 
CONNECT DMGJFS GROUP(SYS1) AUTH(CREATE) UACC(READ) SPECİAL 


Yukarıdaki tanımlamalar yapıldıktan sonra tanımlanan grup yapısı: 


Group Superior Group Owner Connected Users 
(Group Authority) 


SYSI — RACFADM BMUSER (JOIN) 
RACFADM (JOIN) 
RACFAD2 (JOTN) 
DMGJFS (CREATE) 
VSAMDSET sYs1I RACFADM BMUSER (JOIN) 
RACFADM (JOIN) 
SYSCTLG sYSs1I RACFADM BMUSER (JOIN) 
RACFADM (JOIN) 
GROUP1 edeni RACFADM DOLRHG (JOIN) 
DOLIGPB (USE) 
GROUP2 sYSs1l GROUPI1 DOZİJMP (CREATE) 
GROUP3 SYS GROUPI1 DO3ABL (CREATE) 
DATAMGT sYSs1I RACFADM DMGJFS (JOTN) 
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Tanımlanan kullanıcılar 


User 


IBMUSER 


RACFADM 


RACFAD2 


DMGJFS 


DO1RHG 


DO2JMP 
DO3ABL 
DO1GPB 
DO3DIK 
AUDCCC 


Default Group (Group 


Authority) 
SYS1 (JON) 


SYS1 (JON) 


SYS1 (JOİN) 


DATAMGT (JON), 
SYSİ1(CREATE) 


GROUP (JOİN) 


GROUP? (USE) 
GROUP3 (CREATE) 
GROUP (CREATE) 
GROUP3 (CREATE) 
SYS (USE) 
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Attributes 


SPECLAL, 
OPERATIONS, 
REVOKE 


SPECİAL, AUDITOR, 
OPERATIONS 


SPECİAL, 
OPERATIONS 


CLAUTH(USER 
DASDVOL), SPECİAL 


CLAUTH(USER), 
group-SPECİAL 


group-SPECİAL 
group-SPECJAL 
group-AUDITOR 


AUDITOR 
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Connected Groups 
(Group Authority) 


SYSCTLG (JON), 
VSAMDSET (JON) 
SYSCTLG (JON), 
VSAMDSET (JON) 


SYS1(CREATE) 


EK C. z7/OS Sisteminde SSL/TLS Şifrelemesi ve 
Uygulama 


Sayısal sertifikalara bakış 


z/OS ortamında sayısal sertifikalar istemci ile sunucu arasındaki kimlik doğrulamayı SSL 
ve TLS ile yapmak için kullanılmaktadır. Sertifikalar oturum kurulma protokolünün 


mesajlarını şifrelemek için kullanılan şifreleme anahtarlarını içerirler. 


Sayısal sertifika nedir 


Bir SSL/TLS bağlantısının kurulması işlemine iki kişinin karşılıklı e/ sıkışması olarak bakılır. 
El sıkışma, el sıkışma sırasında kimlik doğrulaması için X.509 sertifikalarını kullanır. El 
sıkışma public anahtarları (X.509 sertifikasının içindeki) ve bağlantının bir tarafıyla diğer 


tarafının kim olduğunu doğrulayan private anahtarları kullanır. 


Public ve private anahtarlar bir çift olarak bulunurlar. Private anahtar bir mesajı şifreler, 
ancak bu şifreyi sadece bu private anahtarla ilişkilendirilmiş public anahtar çözebilir. Bunun 
tersi de doğrudur; public anahtarla şifrelenmiş herhangi bir şey sadece bu public anahtarla 
ilişkilendirilmiş private anahtar tarafından çözülür. 


Private anahtarlar hiçbir zaman ağ üzerinde dolaştırılmaz. Genel olarak, private anahtarın 
sadece bir kopyası vardır ve bu kopya sunucunun ( ya da istemcinin) anahtar deposunda 
tutulur ve bu kopyaya kimlik kanıtlamada ihtiyaç duyulur. Public anahtarlar X.509 sertifikası 


ile serbestçe ağ üzerinde dağıtılır. 


Sayısal sertifika tipleri 


»e Sertifika yetkili (CA) sertifikalar 
» Kullanıcı (şahsi) sertifikaları 


» Site sertifikaları 
Sertifika Yetkili (CA) Sertifikalar 


CA sertifikası diğer sertifikaları yayınlayan ya da imzalayan sertifikadır. CA sertifikaların iki 


tipi vardır: 
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root CA root CA oluşturulan ilk sertifikadır. Her hangi bir sertifika zincirinin en 
tepesinde yer alır. root CA zincirin (hiyerarşinin) en altındaki diğer 
sertifikaları imzalamak için kullanılır. Root CA in benzersiz 
karakteristiği yayıncının ve subject isminin aynı olmasıdır. Bunun böyle 
olması mantıklıdır: root CA sıranın en başındadır: o takdirde root en 
başta olunca yayıncı nasıl olabilir? o zaman, root CA kendi private 


anahtarı tarafından imzalanmalıdır. 


intermediate CA intermediate CA bir root CA ya da bir başka intermediate CA tarafından 
imzalanmış sertifikadır. Bir başka deyişle, intermediate sertifika root 


sertifika ya da şahsi sertifika olmayan sertifikadır. 


Lokal olarak imzalanmış CA sertifikaları 


Lokal olarak elde edilen CA sertifikası bu sertifikanın CA sertifikası olarak kullanılacağını 
belirtmek için üretilmiş olan sertifikadır. İsminden de anlaşılacağı gibi, lokal olarak üretilir. 


Her ne kadar bir root CA sertifikası olsa da, tanınmış CA satıcılarından alınmamıştır. 


Lokal olarak imzalanmış sertifikaların kullanımı tanınmış CA dağıtan firmalar tarafından 
imzalanmış sertifikalar gibi kolay değildir. Bunun bir nedeni, lokal olarak imzalanmış 
sertifikanın kullanılması için, lokal root CA sertifikasının tüm paylaşımdaki istemcilere elle 
dağıtılması zorunluluğundandır. Çoğu istemci ilk el sıkışmada bunun dinamik olarak 


yapılmasını kabul eder. Hâlbuki bu durum bir güvenlik açığı ortaya çıkarır. 


Kendi imzasını taşıyan sertifikalar 


Bir root CA sertifikası onun subject DN'i ile aynı olan bir yayıncı DN'ine sahiptir. Burada DN 
sertifikanın yayıncısını ve subject 'ini gösteren ayrıcalıklı isimdir. root CA zincirin ya da 
hiyerarşinin en tepesindedir bu nedenle kendisini kendi private key'ini kullanarak 
imzalaması gerekmektedir. Kendi imzasını taşıyan adı buradan gelmektedir. Bu nedenle 
bütün root CA sertifikalar kendi imzasını taşıyan sertifikalardır. Bu hem lokal hem de iyi 


bilinen CA sertifikaların her ikisi için de geçerlidir. 
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Site sertifikaları 


SİTE sertifikaları RACF ortamına özgüdür. Ekstra bir kontrol seviyesini temsil ederler ve 
pek çok sertifika deposunda mevcut değildirler. Başka depolarda private anahtarın 
tutulması risk oluşturabilir (o (mesela gskkyman anahtar veri tabanında). Eğer private 
anahtar depoda bulunuyorsa, o zaman herhangi bir kullanıcı ya da işlemin bu depoya 
erişmesi dolayısıyla sertifikanın private anahtarına erişmesi olasılığı vardır. RACF'te 
sadece kullanıcı ID private anahtara erişme hakkına sahip bir kullanıcı sertifikası ile 
ilişkilendirilmiştir. Site sertifikası RACF ortamında özel bir kullanıcı ID'dir bu özellik private 


anahtarın birden fazla kullanıcı ID arasında paylaşılmasına izin verir. 


Site sertifikası, örneğin sysplex ya da veri merkezi gibi birden çok sunucular, birden çok 
istemciler ve başka birden çok istekte bulunan uygulamaları içeren tek bir lokasyon 
birimiyle ilişkilendirilirler. Bu durumda LPAR'da ya da sysplex'te herhangi bir kullanıcı 
ID'sine uygun RACF erişim yetkilerinin verilmesi tüm sistemi kapsayacak özelliğe dönüşür. 
Sistemdeki birden çok kullanıcılar site sertifikasını paylaşabilirler, bu durumda, ayrı ayrı 
LPAR'lar ya da sistem görüntüleri için ayrı sertifikalar üretmek ve onları yönetmek 


zorunluluğu ortadan kalkar, bu özellik site sertifikasının avantajlı yanını oluşturur. 


Her ne kadar bu düzenleme sertifika yönetim yükünü hafifletiyor olsa da, kuruluşun sahip 
olduğu kontrol kapsamını azaltır. Örneğin, sysplex'in tüm görüntülerinde TN3270 ve FTP 
sunucuları için tek bir sertifikanın kullanıldığını düşünelim. Eğer bu sertifikanın private 
anahtarı riske düşerse, o zaman tüm sunucular bu riskten etkilenecektir. Eğer her bir 
sunucu için ayrı sertifikalar kullanılırsa, private anahtar riske düştüğünde etkilenme daha 
az olacaktır. Ancak private anahtarın riske düşmesi son derece uzak bir ihtimaldir, bu 


nedenle pek çok kuruluş paylaşımlı site sertifikası kullanmaktadır. 


Kuruluş içindeki bir sunucu bu site sertifikasının bir kopyasına sahip olduğunda güvenilir 
(TRUSTED) olarak işaretlenir. 
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Sayısal sertifikalar nasıl elde edilir 


SSL/TSL bağlantılarında kullanılmak üzere bir sertifika hazırlamanın üç yolu vardır. 


»e Sertifikayı tanınmış CA sertifika sağlayan firmalardan talep etmek 


»e Sertifikayı kendimizin üretmesi: Bu tip sertifikaya sertifikanın yayıncısı sertifikanın 

e subjectiile aynı isimli olduğundan kendi imzasını taşıyan sertifika denir. Bu tip 
sertifikanın test amaçlı işlerde ya da intranet içindeki güvenli TLS bağlantılarında 
kullanılması yararlıdır. 

» Kendi imzasını taşıyan CA sertifikası üretmek ve bunu lokal CA olarak kullanmak: 
Sertifikayı geçerli kılmak için alıcı anahtar veri tabanını güvenilir root CA sertifikası 
için kontrol eder. root CA sertifikası alıcının lokal veri tabanında yer almalıdır ve 
güvenilir (TRUSTED) olarak işaretlenmiş olmalıdır. Pek çok sistemler, bu veri 


tabanından anahtarlık (key ring) olarak bahsederler. 


z/lOS de sertifikaları yönetmek için kullanılan hizmetler 


z/OS da sertifikaları yönetmek için kullanılan iki komut hizmeti vardır, sertifikalar 2/OS'da 


bu hizmetlerden biri kullanılarak oluşturulur: 


» RACDCERTİ RACF komutu RACF veri tabanında tutulan anahtarlıkları ve 
sertifikaları oluşturmak ve bunların bakımlarını yapmak için kullanılır. Bu komut aynı 
zamanda kendi imzasını taşıyan sertifikaları ve lokal CA sertifikaları oluşturmak için 


de kullanılır. 


»e gskkyman hizmeti /OS UNIX file sisteminde bir dosya olarak anahtar veri tabanı 
oluşturmak ve bu veri tabanının bakımını yapmak için kullanılır. Bu hizmet aynı 
zamanda kendi imzasını taşıyan sertifikaları ve lokal CA sertifikaları oluşturmak için 
de kullanılır. 

Sertifikalar ve private anahtarları için daha çok güvenlik sağladığından pek çok kuruluşta 
anahtarlık kullanmak tercih edilen bir yöntemdir. RACF anahtarlıklarında, anahtar veri 
tabanının parolalarını tutan stash dosyalar kullanılmaz ve anahtarlıklara, sertifikalara ve 


private anahtara erişim RACF tarafından kontrol edilir. 
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Sayısal sertifikadaki bilgi alanlarının biçimleri 


RACDCERT ya da gskkyman kullanarak bir sayısal sertifika oluşturulacağı zaman, 


sertifikayı tanımlamak için gerekli bazı alanların doldurulması zorunlu bazı alanların 


doldurulması ise isteğe bağlıdır: 


Aşağıda sertifikada bulunan alanların tanımları verilmiştir. 


» Distinguished name (DN): Sertifikanın yayıncısını ve sertifikanın subject ini 


gösteren ayrıcalıklı isim. Kendi imzasını taşıyan ya da root CA sertifika için, 


yayıncının Distinguished Name'i sertifika subject 'inden kopyalanacaktır. 


Distinguished Name aşağıdaki alt alanları içerir: 


Common Name (CN): Sunucu sertifikası için, bu alan sunucunun DNS adını 
gösterir. İstemci sertifikası için, özel ya da bilgisayara ait tanımlama olabilir 
(Bir DNS ismi de olabilir). 

Organization-name (O): Şirketin ismi ya da buna benzer bir isim. 

Title (T): Özel bir hitap ismi. 


Organizational-unit (OU): Organization-name içinde tasnif yapmak için 
kullanılır. 

Locality (L): Şehir. 

State-or-province (SP). 

Country (C): İki karakterli ülke kodu. 

Period of validity: Sertifikanın geçerlilik süresi, eğer sertifika gskkyman ile 
oluşturuluyorsa, bu günden itibaren sertifikanın kaç gün geçerli olacağı 
şeklindedir. RACDCERT kullanılarak oluşturuluyorsa, sertifikanın geçerli 


olacağı en düşük ve en üst tarihler (yyyy-mm-dd) şeklinde belirtilir. 


Ayrıca bir de etiket alanının doldurulması gereklidir. Bu alan x.509'u belirlemenin bir 


parçası değildir, fakat anahtar veri tabanında sertifikaları düzenlemek için kullanılır. Etiketi 


listelemek, değiştirmek ve belli sertifikaları silmek için kullanılabilir. Etiket ismi başka yerde 


kullanılmamış bir isim olmak zorundadır. 
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RACF RACDCERT komutunun kullanımı 


Sayısal sertifikaları ve sertifikalarla ilişkilendirilmiş private anahtarları oluşturmak, kayıt 
etmek, saklamak ve yönetmek için RACF kullanılabilir. RACF ayrıca sayısal sertifikaların 
saklandığı anahtarlıkları oluşturmak ve yönetmek için de kullanılabilir. Sertifikalar RACF 
veri tabanında saklanır, private anahtarlar ise 168-bit triple DES anahtarı altında 
şifrelenmiş ICSF Public key Data Setinde (PKDS) saklanabilir. 


RACF ortamında her zaman bir sertifika veri tabanı bulunur. Herhangi bir sertifikaya 
erişmek için bir mantıksal anahtarlık oluşturulmalıdır. Sertifikalar ihtiyaç olduğunda 


mantıksal anahtarlıklara bağlanır. 


RACDCERT komutunun formatı 


RACDCERT |ID(user) | SITE | CERTAUTH|J command-options 


RACDCERT komutu ID(user) parametresi ile kullanıcı ID'sinin sayısal sertifikalarını ya da 
anahtarlıklarını RACF'e yöneltebilir, CERTAUTH parametresi ile CA in kaynaklarını ve 
SITE parametresi ile de site'nin kaynaklarını RACF'e yöneltir. Eğer ne ID, SITE ne de 


CERTAUTH parametresi belirtilmezse, bunların yerine komutu veren kullanıcı ID geçer. 


Örneğin, racdcert certauth list komutu RACF veri tabanındaki bütün CA sertifikalarını 


listeler. racdcert list komutu ise komutu veren kullanıcının sertifikalarını listeler. 


Bir kullanıcı (şahsi) sertifikası ya da USAGE(PERSONAL) ifadesi ile bir anahtarlığa 
bağlanmış sertifika, private anahtarı SSL/TLS el sıkışması sırasında mesaj derlemesini 
oluşturmak için kullanılabilen sertifikanın tek türüdür. Bu yüzden, lokal sunucular için 
kullanılan tüm sunucu sertifikalarının kullanıcı sertifikaları olmasına ihtiyaç vardır ya da 
onların USAGE(PERSONAL) ile uygun bir anahtarlığa bağlanmaya ihtiyaçları vardır. Daha 
öncede bahsedildiği gibi, sunucular birden çok şahsi sertifikaların bakım yükünden 
kurtulmak için bir site sertifikasını paylaşabilirler. 
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Her ne kadar CA sertifikaları ve kullanıcı (ya da şahsi) sertifikalar endüstri standardına 
göre düzenlenmiş olsalar da, “site” terimi RACF ortamına özgüdür (gskkyman de bir 


eşleniği yoktur). 


RACDCERT komutu anahtarlıkları destekler 


RACF anahtarlığı kullanmak sertifikaları osayıları ile birlikte mantıksal olarak 


gruplandırmanın bir yoludur. Bir sertifika bir ya da daha fazla anahtarlığa bağlı olabilir. 


Her bir anahtarlık sadece bir kullanıcı ID'si ile ilişkilendirilmiştir, fakat anahtarlığa 


bağlanmış sertifikalar anahtarlık sahibinin sertifikaları olabilirde olmaya bilirde. 


Anahtarlığın paylaşılması 

Anahtarlığı paylaşmak isteyen Kullanıcı ID'ye FACILITY klastaki 

IRR .DIGTCERT.KEYRING'de UPDATE erişimi verilir. 

Bir paylaşımlı anahtarlık sertifika SITE sertifikası olarak düzenlenmedikçe sadece public 


anahtarlara erişime izin verir. 
RACDCERT ile Lokal CA İmzalı Sertifika Düzenlemek 


Sertifika yönetim şeması kurmada bir seçenek de lokal CA kurmaktır. 

Eğer sistemde birden fazla SSL/TLS özelliğine sahip sunucu varsa CA olma seçeneği de 
seçilebilir. Eğer kendisinin imzaladığı sertifika ile birden fazla sunucu varsa, her sertifika 
bunları kullanacak istemcilere ihraç edilmelidir. Bu yüzden, eğer bir FTP sunucusu, bir 
TN3270 sunucusu ve bir LDAP sunucusu varsa, her biri kendi imzasını taşıyan sertifikaları 
kullanıyorsa ve hepsi bir iş istasyonundan kullanıyorsa, bu iş istasyonu anahtar veri 
tabanındaki üç sertifikanın üçüne de ihtiyaç duyacaktır. 

Bir lokal CA ile, sunucunun sertifikalarının her biri imzalanabilir ve bir sertifika (lokal root 
CA sertifikası) istemcilere ihraç edilir. 


Biz çalışmamızda TN3270 ve FTP sunucularının sertifikalandırılması işleminde lokal 
(internal) CA kullanacağız ve sunucu sertifikasını bu CA sertifikası ile imzalayacağız. Bu 
sertifikanın kendi imzasını taşıyan sertifikadan farkı istemcilere kullanıcı sertifikası olarak 


değilde root CA sertifikası olarak dağıtılmasıdır. 
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RACDCERT komutu ile TN3270 ve ftp sunucuları için lokal CA imzalı sertifika 


düzenlemek 


Burada anlatılan işlem herhangi bir 27/OS sunucusu için aynıdır. Bu örnekte, TN3270 
sunucusu ve FTP sunucusu tarafından kullanılacak bir site sertifikası oluşturuyoruz. Bu 


sertifikaya SSL/TLS kullanan TN3270 istemcileri ve FTP istemcileri ihtiyaç duyarlar. 


Sunucuların kendi lokal SSL/TLS desteğini ya da harici AT-TLS desteğini kullanarak 
düzenlediği sertifika üretme yöntemi aynıdır. İstemci için SITE sertifikasını doğrulamanın 
kuralı, dâhili CA sertifikasının istemcide bulunmasının gerekli olmasıdır. Sertifika üretme 
adımları aşağıda verilmiştir (CA Certificate Authority) : 

1. Şekil 6 da gösterildiği gibi, dâhili CA için kendi-imzasını taşıyan bir sertifika 


oluşturulur. 


//CERTAUTH JOB (VBT) , KAYHAN, MSGCLASS—X, NOTIFY-&SYSUID 


İŞJKKKKKKKAUKAUKAKAKKAKARRKAKAKAKKAKAAKAKAKAKKAKAKKAKAKAKAAKAKKAKAKAKAAKAKAAAAX 


//X* Adım 1: 


//* VBT için Certificate Authority Sertifikanın Oluşturulması * 


(ŞİKİ KKKKAKAKAKAKKAKKAKAKAKAKKAKAKKAKAKAKKAKAKAKAKAKAKKAKAKKAKAKAKAAKAKAKAKX 


//CERTAUTH EXEC PGM#IKJEFTO1, DYNAMNBR-30 , REGION-4096K 
//SYSTSPRT DD SYSOUT—* 


//SYSTSIN DD * 


RACDCERT certauth gencert — 


SUBJECTSDN( O('VBT Bilgi Teknolojileri A.Ş') — 
CN(VBT.COM. TR) — 


OU('VBT CERTIFICATE AUTHORITY') - 
C('TR')) - 
NOTBEFORE (DATE (2014-09-15 
NOTAFTER (DATE (2024-09-15) - 


KEYUSAGE (CERTSİGN) > 


WITHLABEL('VBT3 CAL') 


SETROPTS RACLIST(DIGTCERT) REFRESH 


RACDCERT CERTAUTH LIST 
/* 


Şekil 6 — RACF veri tabanında dahili CA sertifikası oluşturmak için kullanılan toplu iş 
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JCL'deki CERTAUH ifadesi bu sertifikanın CA sertifika olarak kullanılacağını gösterir. Belirli 


bir kullanıcıya atanmamıştır. 


2. Şekil 7 de gösterildiği gibi sunucuların paylaşacağı bir site sertifikası oluşturulur: 


//CERTSITE JOB (VBT) , KAYHAN, MSGCLASS—X, NOTIFY—&SYSUID 


İŞ(İKKKAKKAKAKAKAKKAKAKAKAKAKAKKAKAKAKA AA KAKAKKAKAKAA KAKA KAKAAKAKAKAKKAKAKA/((X& 


Adım 2: 


//X Tüm Sunucular için (Paylaşılan) site AUTHORITY CERTIFICATE Oluşturulması * 


//CERTSITE EXEC PGMZ#IKJEFTO1, DYNAMNBR-30, REGION-4096K 


//SYSTSPRT DD SYSOUT-* 
//SYSTSIN DD * 
RACDCERT SITE GENCERT 


SUBJECTSDN(CN('VBT.COM') -— 


O('VBT BILGI TEKNOLOJILERİ') - 


OU('VBT SHARED SITE') - 


GÇ'IRİ)İ - 


WITHLABEL('GSS SHAREDSITE1') - 


RACDCERT SITE LIST 
/* 


Şekil 7 - SİTE sertifikası oluşturmak ve dâhili CA sertifikası ile imzalamak için kullanılan toplu iş. 


RACDCERT ifadesinde bir kullanıcı kimliği yerine, SITE ifadesinin kullanılması, bu 
sertifikanın site sertifikası olarak kullanılacağını ve belirli bir kullanıcıyla ilişkili olmadığını 
belirtir. Bu örnekte SITE parametresi kullanılır, çünkü oluşturulan sertifikanın private (özel) 
anahtarı birden çok sunucu tarafından paylaşılır. Ortak adın (CN) sitenin domain adıyla 


aynı olduğundan emin olmak yararlıdır (ancak zorunlu değildir). 


3. Sunucular için paylaşımlı bir RACF anahtarlığı oluşturulur. Kullanıcı kimliği ve 
anahtarlığın her ikisine de paylaşılan site sertifikasını çağrıştıracak isimler verilmesi 
önerilir. Örneğimizde, biz yeni anahtarlığı FTP sunucusunun kullanıcı ID si ile 
ilişkilendirdik ve sonra paylaşılan sertifikaya bağlayıp varsayılan sertifika olarak 
belirledik. 
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Aşağıdaki şekil paylaşımlı anahtarlık oluşturmayı ve onu iki sertifikayla bağlamak için 
gerekli üç adımı göstermektedir. 


//KEYRINGS JOB (VBT) , KAYHAN, MSGCLASS—X, NOTIFY—&SYSUTID 
İŞJİKİKAKKKAKAKAKAKKAKKAKAKAKAKKAKARKAKAKAKKAKAKAKAKAKAKKAKAKKAKAKAKAKKAKAAAAX 
//X* Adım 3: 

//X* Değişik istemcilere yeni bir anahtarlık ilave etme 


//* Sunucuların anahtarlığına SITE sertifikası ilave etme 


//X Sunucu düzenlenmesindeki anahtarlık adı "KEYRING SAF //*<userid>/SharedRing 


olarak yeni ring adı ile değiştirilmelidir 


//* Bu Job anahtarlıkların “TCPIP' kullanıcı kimliği ile 


//Xilişkilendirileceğini varsaymaktadır. 


(ŞİKİ KKKKAKAKAKAKKAKKAKAKAKAKKAKARKAKAKAKKAKAKKAKAKAKKAKAKKAKAKAKAAKAKAAAAK 


//KEYRINGS EXEC PGMZIKJEFTO1, DYNAMNBR-30, REGION-4096K 
//SYSTSPRT DD SYSOUT-* 


//SYSTSIN DD * 
RACDCERT ID(TCPIP) ADDRING (SHAREDRINGİ ) 


RACDCERT ID(TCPIP) CONNECT (CERTAUTH — 


ABEL('VBT3 CAL') - 


RING (SHAREDRINGI) - 


RACDCERT ID(TCPIP) CONNECT (SITE — 


ABEL('GSS SHAREDSITEL') - 


RING (SHAREDRINGI) -— 


SETROPTS RACLIST(DIGTRING) REFRESH 


SETROPTS RACLIST(DIGTCERT) REFRESH 


RACDCERT LISTRING(*) ID(TCPIP) 
/* 


Şekil — 8 Paylaşımlı key ringi eklemek için çalıştırılan toplu iş 
Toplu işte kullanılan üç adım: 
a) RACDCERT ADDRING komutu kullanılarak yeni bir RACF paylaşımlı anahtarlık 
oluşturulur. 


b) RACDCERT CONNECT komutu kullanılarak lokal CA sertifikası yeni anahtarlığa 
bağlanır. 
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c) Site sertifikası (Bu sertifika dâhili CA sertifikası tarafından imzalanmıştı) 
RACDCERT CONNECT komutu kullanılarak yeni anahtarlığa bağlanır. Her ne 
kadar sertifika site sertifikası olarak oluşturulduysa da, sunucular onu kendi 


istemcileriyle yetkilendirecekleri için USAGE PERSONAL olarak belirtilmelidir. Bu 
sertifikayı sunucular sunucu yetkilendirilmesi sırasında istemciye göndereceklerdir. 


4. Sunucu konfigürasyonu yeni paylaşımlı anahtarlığı ve TCPIP kullanıcısını 


gösterecek şekilde update edilir. 


» IN3270'de kullanmakiiçin: 
KEYRING SAF TCPIP/SharedRing1 


» FTP'de kullanmakiçin: 
KEYRING TCPIP/SharedRing1 


5. Her sunucunun kullanıcı ID'sine READ yetkisi verilir. Aşağıdaki şekil sunucuların 
paylaşımlı anahtarlığa erişmeleri için gerekli anahtarlık onayında kullanılacak RACF 
komutlarını göstermektedir. Anahtarlık FTPD ve TN3270E kullanıcı kimlikleriyle 


birleştirildiklerinden sunucular için kullanıcı ID'ye sadece READ erişimi gereklidir. 


/ /PERMRING JOB (VBT) , KAYHAN, MSGCLASS—X, NOTIFY—-&SYSUID 


İŞAKKKKKAKAKKAKAKAKAKKAKAAKAKAKAKKAKARK KA KAKAKKAKAKAAKAKAKAAKAKAAKAKAKAKKAKK 
//X Adım 4: 


//X* keyring'e erişim yetkisi 


//X* KEYRING'in sahibinin READ erişimine ihtiyacı vardır X 
//X* FTP PROC'unun sahibi “FTPD' Kullanıcı ID'sine sahiptir e 
//X TN3270 PROC' ununu sahibi *TCPIP' Kullanıcı ID'sine sahiptir * 


İŞÇİKKKKKAKAKKAKAKAKARKAKAR KA KAKAKKAKAK AA KAKAKKAKAKAAKAKAKAAKAKAAKAKAKAAKAKK 


//PERMRING EXEC PGMZ<IKJEFTO1, DYNAMNBR-30, REGION-4096K 
//SYSTSPRT DD SYSOUT—* 
//SYSTSIN DD * 


PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(TCPIP) ACCESS(READ) 


PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(FTPD) ACCESS(READ) 
/* 


Şekil — 9 TN3270 ve FTPD'nin paylaşımlı anahtarlığa erişmesine izin vermek 


z/OS Sistem Güvenliği ve RACF - Kayhan Tanrıverir 466/525 


FTP PROC'unun sahibi: 


RESPONSE-VBT3 
IEE1151I 15.14.58 2014.258 ACTIVITY 644 
JOBS  M/S TS USERS SYSAS INITS ACTIVE/MAX VTAM 
00001 00032 00001 00032 00008 00001/00010 
FTPDI STEP1 FTPD OWT AO A-0039 PER-NO SMC-000 


TN3270E PROC'unun sahibi: 

RESPONSE-VBT3 

IEE1151 15.15.53 2014.258 ACTIVITY 
JOBS M/S TS USERS SYSAS 
00001 00032 00001 00032 
TN3270E TN3270E 1N3270 NSW 


SO 


PGNXN/A DMN-N/A AFF—NONE 
CT-000.0145S 
WUID-STC04522 


ET-71.04.10 
ÜSERID-FTPD 
WKL-NEWWO 


RGP-N/A 


RK SCL<NEWWORK 
S 


P— 


RVR&NO  OSC-NO 


OF E40 


ADDR SPACE ASTE KA 


646 
INITS 
00008 

A-004F 


ACTIVE/MAX VTAM 
00001/00010 


PER-NO SMC-000 


PGNXN/A DMN-N/A AFF—NONE 
CT-026.1215S 

WUID-STC04786 
WKL-SYSTEM 


ET-70.47.57 
US 
SCL-SYSSTC 


ERID—TCPIP 


RGP-N/A SRVR&NO  ÇOSC- 


EA83C0 


ADDR SPACE ASTE 


OAS 
00019 


2 


OAS 
00019 


P-1 
NO 


6. Private key'i korumak ve her bir sunucunun ona erişecek kullanıcı ID'lerine izin 
vermek için RACF komutları girilir. Private key IRR.DIGTCERT.GENCERT isimli 
FACILITY class'ta tanımlıdır. Hepsine CONTROL erişimi verilmelidir. 
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//PERMKEY JOB (VBT) , KAYHAN, MSGCLASS—X, NOTIFY-&SYSUID 
//X* Adım 5: * 


//X* Keyring'teki paylaşımlı SITE sertifikasının Permitting access to the //* 


ii 


E //* cert in keyring* 


private key of shared SIT 


İŞÇAKKKKKAKAKKAKAKAKARKAKAKKAKAKAKKAKAK KA KAKAKKAKAKAAKAKAKAAKAKAAKAKAKAKKAKK 


//PERMKEY EXEC PGMZIKJEFTO1, DYNAMNBR-30, REGION-4096K 


//SYSTSPRT DD SYSOUT-* 


//SYSTSIN DD * 
PERMIT IRR.DIGTCERT.GENCERT CLASS (FACILITY) ID(TCPIP) ACCESS (CONTROL) 
PERMIT IRR.DIGTCERT.GENCERT CLASS (FACILITY) ID(FTPD) ACCESS (CONTROL) 


SETROPTS RACLIST FACILITY) REFRESH 


/* 


Şekil — 10 Sunuculardaki private key'e erişim hakkı verilmesi 
7. CA sertifikası bir MVS data set'ine export edilir. Daha sonra bu MVS data set'i FTP 
ile ASCII formatında bu sertifikayı kullanmak isteyen istemciye transfer edilir. (Bizim 


örneğimizde TN3270 ve FTP istemcilerine) 


EXPORT JOB (VBT) ,KAYHAN,MSGCLASS—X,NOTIFY:&SYSUID 
/* Adım 6: * 
//* Kendi imzasını taşıyan CA sertifikasının base-64 encoded 


* 


/* formatında Export edilmesi 
Jesse 
/HEXPORT EXEC PGMZIKJEFT01,DYNAMNBR-30,REGION-4096K 
//SYSTSPRT DD SYSOUT-* 
//SYSTSIN DD * 
RACDCERT CERTAUTH EXPORT(LABEL('VBT3 CA1") - 
FORMAT(CERTB64) DSN('TCPIP.VBT3.CACERT') 
p 


Şekil — 11 Dahili CA sertifikasını bir MVS data set'ine yazmak için kullanılan toplu iş 


Export komutu private key'i export etmek için kullanılmayacaktır. Sadece public key'in 


export edilmesi gerekir. 


8. İstemci tarafında, sertifika key veri tabanına trusted sertifika olarak taşınır 


9. İstemci-sunucu bağlantısı test edilir. 
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SL /TLS ile Güvenli Telnet 


TN3270 için native TLS/SSL desteğini kullanıma almak için aşağıdaki maddeler yerine 


getirilir. 


1. Anahtarlık ve sertifikaların üretilmesi. 
2. TN3270 profiline TLS-kullanan portu ve güvenlik parametrelerinin eklenmesi. 


3. TN3270 sunucusunun yeni tanımlarla başlatılması. 


Anahtarlık ve sertifikaları üretmek. 
Aşağıdaki şekil paylaşımlı anahtarlık, CA sertifikası ve SITE sertifikası oluşturmak için 
kullanılması gerekli ifadeleri göstermektedir. 


racdcert certauth gencert -— 1 
subjectsdn( o('IBM Corporation') — 
ou('ITSO Certificate Authority') - 


Çeka 


NOTBEFORE (DATE (2007-09-11)) — 


NOTAFTER (DATE (2008-09-11)) - 


keyusage (certsign) - 


withlabel('cs19 ITSO CAI') 


setropts raclist(facility) refresh 


racdcert certauth list 


racdcert site gencert subjectsdn(cn('ITSO.IBM.COM') - 2 


o('IBM Corporation') 


ou('ITSO CS19 Shared SITE') - 


ek 


withlabel('CS19 ITSO SharedSitel') -— 


signwith (certauth labelf('CS19 ITSO CA1') 
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racdcert site list 


racdcert ID(TCPIP) ADDRING(SharedRingi ) 3 


racdcert ID(TCPIP) CONNECT (CERTAUTH — 4 


LABEL('CS1I9 1ITSO CAL') - 


RING(SharedRingl) -— 


USAGE (CERTAUTH) 


racdcert ID(TCPIP) CONNECT(SITE — 5 


LABEL ('CS19 ITSO Shared$Sitel') - 


RING(SharedRingl) -— 


DEFAULT - 


USAGE (PERSONAL) 


setropts raclist(DIGTRING) refresh 


setropts raclist(DIGTCERT) refresh 


racdcert listring(*) id(TCPIP) 


1. kendi imzasını taşıyan sertifika yetkisine sahip sertifika oluşturulur. 

2. Site sertifikası oluşturulur. 

3. Anahtarlık oluşturulur. 

4. Kendi imzasını taşıyan sertifika yetkisine sahip sertifika anahtarlığa bağlanır. 


5. Site sertifikası anahtarlığa bağlanır. 


TN3270 profiline güvenlik parametrelerini ve TLS-kullanan portu ilave etmek 
TN3270E profilindeki TELNETGLOBALS bloğuna ya da TELNETPARMS bloğuna daha 


önceki adımda oluşturulan anahtarlık ismi ve port tanımları girilir. 


TN3270 profili native güvenlikli TLS bağlantısı için 992 portunu kullanır. 


SYS1.VBT.TCPPARMS kütüphanesindeki TN3270E member'ında aşağıdaki değişiklikler 
yapılmıştır. TelnetGlobals bloğunda hiç bir değişiklik yapılmamıştır. TELNETPARMS 
bloğunda ise aşağıdaki değişiklikler yapılmıştır. Kırmızı renkli satırlar TN3270E 
member'ında olmayıp, ilave edilen satırları göstermektedir. 
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TelnetParms ; TN defined secure port 


Secureport 992 ; Default ConnType is Secure 


CONNTYPE SECURE ; Support SSL 


Keyring SAF TCPIP/SharedRingl ; keyring shared by servers 
- ClientAuth SAFCERT ; Do certificate/userid client authentication 


CLTENTAUTH NONE ; Client Certificate reguired 


Encryption ; Specify allowed ciphers and order 


; SSL NULL MD5 


SSL 3DES SHA 


SSL DES SHA ; use these only, do not consider any others 


SSL 3DES SHA 


EndEncryption 


SsLtimeout 10 ; Wait 10 seconds for Handshake completion 
SSLv2 ; Allow SSLv2 security 
EndTelnetParms 


BEGINVTAM bloğuna ise sadece PORT 992 ilave edilmiştir. 


BEGINVTAM 

PORT 992 

DEFAULTLUS 

TCP00000..TCP00099..FFFFEFNN 

ENDDEFAULTLUS 

; DEFAULTAPPL SC33TS ; All users go to TSO 

USSTCP USSVBTI 

ALLOWAPPL SC3* ; Netview and TSO 

ALLOWAPPL NVAS* ÇOSESSION ; session mngr gucues back upon CLSDST 
ALLOWAPPL TSO* DISCONNECTABLE ; Allow all users access to TSO 
ALLOWAPPL * ; Allow all applications that have not been 

; previously specified to be accessed. 


ENDVTAM 
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TN3270 sunucusunun başlatılması 


Yeni tanımları kullanıma almak için, TN3270 sunucusu yeniden başlatılır. OBEYFILE 


komutu da kullanılabilir, ancak OBEYFILE komutu sadece yeni bağlantılar için etkili olur. 
1.43.20 VBT3 s tn3270e€e 
1.43.21 VBT3 STCO5128 İHASP100 TN3270E ON STCINRDR 


1.43.21 VBT3 STCO5128 İHASP373 TN3270E STARTED 


.21 VBT3 STC05128 EZ2260011I TN3270E SERVER STARTED 


3 
3 
11.43.21 VBT3 STC05128 1IEF4031I TN3270E - STARTED - TIME-11.43.21 
3 
3 


.21 VBT3 STC05128 EZ2260441 TN3270E PROFILE PROCESSİNG BEGINNING FOR 


FILE 


SYSI.VBT.TCPPARMS(TN3270E) 


EZ26035I TN3270E DEBUG CONFIG EXCEPTTON 
LINE: 79 MOD: EZBTMPRF 


RCODE: 803A-00 The statement is obsolete and ignored. 


PARMI: 00000000 PARM2: 00000000 PARM3: WLMCLUSTERNAME 


EZ216045I1 TN3270E PROFILE PROCESSING COMPLETE FOR FILE 

SYSI.VBT.TCPPARMS (TN3270E) 
11.43.21 VBT3 STC05128 EZ260031 TN3270E LISTENING ON PORT 992 
11.43.21 VBT3 STC05128 EZ260031 TN3270E LISTENING ON PORT 23 


3 


Konfigürasyonu doğrulamak ve aktif etmek 


SSL / TLS tanımlarının girildiği konfigürasyonun doğrulanması için aşağıdaki komutların 


kullanılması yararlıdır: 


» TN3270 bağlantılarını göstermek için TELNET CONN görüntüleme komutunun 
girilmesi. 

» TLS bağlantı bilgisini ayrıntılı göstermek için Telnet CONN, CONN komutunun 
girilmesi. 


» SSİ profil bilgisini göstermek için PROF komutunun girilmesi. 


Bu çalışmada bağlantı kurulması için IBM Personal Communications V6.0 kullanılmıştır. 
Bu çalışmada kendi imzasını taşıyan sertifika kullanıldığı için, sertifika yetkilendirme 


sertifikası Personal Communications'a indirilmiş ve kurulmuştur. 
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TN3270 bağlantılarını göstermek için TELNET CONN komutunun kullanılması 


D TCPIP,TN3270E,T,CONN 


TLS bağlantı bilgisini ayrıntılı göstermek için TELNET CONN, CONN 


komutunun girilmesi 


D TCPIP,TN3270E,T,CONN,CONN-4AC1,DETAIL 


SSL profil bilgisini göstermek için PROF komutunun girilmesi 


D TCPIP,TN3270E,T,PROF,PORT-992,DET,MAX—* 


SSL üzerinden Güvenlikli FTP Yapmak için Konfigürasyon Ayarları 


SSL üzerinden Güvenlikli FTP Yapmak için mainframe'deki TCPIP'nin TCPPARMS 
kütüphanesindeki OFTPSDATA member'ında aşağıdaki değişikliklerin (o yapılması 
gerekmektedir VBT ile gösterilen değerler SSL için girilmiştir: 


Security options 


EXTENSIONS AUTH TLS ; Enable TLS authentication —-—VBT 
; Default is disabled. 


SECURE FIP REOCUIRED ; Authentication indicator 
;JALLOWED (D) 
; REOUIRED ---VBT 


SECURE LOGIN NO CLIENT AUTH ; Authorization level indicator 
;for TLS 
;NO CLIENT AUTH (D) 
; REÇUTRED 
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; VERIFY USER 


SECURE DATACONN PRIVATE ; Minimum level of security for 


; the data connection 


; NEVER 
; CLEAR (D) 
; SAFE 
; PRIVATE -—--VBT 
KEYRING SharedRingl ; It can be the name of a z/0S Unix 


; file (name starts with /) or 


; a resource name in the security 


; product (e.g., RACE) >———VBT 


TLSRFCLEVEL RFC4217 ; Specify what level of REC 4217, 
; On Securing FTP with TLS, is 
; Ssupported. 
; DRAFT (D) Internet Draft level 
; REFC4217 REC level ---VBT 


Microsoft Yönetim Konsolunda Yapılacak İşlemler 


Microsoft Yönetim Konsoluna ulaşmak için PC'nizin çalıştır programına MMC yazın. 


m Windows'un açmasını istediğiniz program, klasör, belge 
veya İnternet kaynağının adını yazın. 


MMC 


e) Bu görev yönetim ayrıcalıklarıyla oluşturulur. 


Microsoft Yönetim Konsolu açılır. Açılan pencerede Dosya -> Ek Bileşen Ekle/Kaldır 


seçeneğini tıklayın. 
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eş Mİ 
ipa Konsoli - (Konso 


imi Dosya Görünüm Sık Kullanılanlar 


eği 
Kökü 


Eylemler 


Farklı Kaydet... görüntülenecek 
Ek Eylemler 


Ek Bileşen Ekle/Kaldır... 
Seçenekler... 


1 CNUsersi...XKonsoll.msc 


Çıkış 


Ek Bileşen Ekle veya Kaldır ekranındaki Kullanılabilir Ek bileşenler içinden Sertifikaları 


seçin. 


Ek Bileşen Ekle veya Kaldır 
Bu konsol için ek bileşenleri bilgisayarınız üzerinde kullanılabilir olanlardan seçebilir ve seçili ek bileşen kümesini yapılandırabilirsiniz. Genişletilebilir ek 
bileşenler için hangi uzantıların etkin olduğunu yapılandırabilirsiniz. 

Kullanılabilir ek bileşenler: Seçili ek bileşenler: 


Ek bileşen ,— cc Konsol Kökü 
IP Güvenlik Monitörü w 


Tİ Kasör bis 
Aİ NAP İstemci Yapılandır.... ÜR > 
dg Olay Görüntüleyicisi si Yukarı Taşı 

5) Paylaşılan Klasörler di — 
(Performans İzeyicsi “e 


Z/ Sonuç İlke Grubu 

TE TPM Yönetimi 

| Web Adresine Bağla 
EİWMI Denetimi 
İı Yazdırma Yönetimi 
# yerel Kullanıcılar ve Gr... 
İ.D - ME 


Açıklama: 
Sertifikalar ek bileşeni, sertifika depolarına kendiniz, bir hizmet veya bir bilgisayar için gözatmanıza olanak sağlar. 
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Ekle > tuşuna basın. Aşağıdaki pencere açılır. Kullanıcı hesabım seçili gelir. 


Sertifika ek bileşeni 


Bu ek bileşenin sertifikalarını her zaman yönetmesini istediğiniz hesap türünü 
seçin: 


© Bilgisayar hesabı 


Son tuşuna basın. 


Aşağıdaki pencere açılır. Son olarak Konsol kökü sertifikalar listesinde üretilen sertifikanın 


görülmesi gerekir (VBT Certificate Authority). 


İğ) Konsoli - (Konsol KökülSertifikalar (Yerel Bilgisayar)NGüvenilen Kök Sertifika YetkilileriSertifikalar) (| a > 
sea ml ELE ilme Ge ELM A SA, e 
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İğ Dosya Eylem Görünüm  SıkKullanılanlar Pencere Yardım (Ns İx 
Jeo aieeElkielE 
 Kensol Kökü Verilen vi Veren Süre Sonu * 
a kere (Yerel Bilgisayar) Eğl Microsoft Authenticodeltm) Ro... Microsoft Authenticodeltm) Root... 01.01.2000 
e B e A KELSENİR ŞlMicrosoft Root Authority Microsoft Root Authority 31.12.2020 
< e ertik | Microsoft Root Certificate Auth... Microsoft Root Certificate Authori... 10.05.2021 
ES | Microsoft Root Certificate Auth... Microsoft Root Certificate Authori... 24.06.2035 
5 (Ğİ Kuruluş Güveni 
» Iİ Ara Sertifika Yetkilileri El Microsoft Root Certificate Auth... Microsoft Root Certificate Authori... 23.03.2036 Ek Eylemler > 
N p IB) Güvenilir Vayımcılar ElMicrosoft Root Certificate Auth... Microsoft Root Certificate Authori... 23.03.2036 
> İİ Güvenilmeyen Sertifikalı | EaNO UABILITY ACCEPTED, (<)97 ... NO LIABILITY ACCEPTED, (<)97 V.. o 08.01.2004 
Üçüncü öl ifi|| Ea SecureTrust CA SecureTrust CA 31.12.2029 
5 (Di Üçüncü Taraf Kök Sertifi 
i » (Ğİ Güvenilir Kişiler G, ertificate Authorit KTM Certificate Aut 9 
» (Ğİ Diğer Kişiler giStarfield Class 2 Certification A... oStarfield Class 2 Certification Auth... 29.06.2034 
> İİ McAfee Trust Şistarfield Root Certificate Autho... Starfield Root Certificate Authorit... o 01.01.2038 
5 İİ Remote Desktop ŞlStarfield Services Root Certificat... Starfield Services Root Certificate... 01.01.2030 2 
» (Ğİ Sertifika Kayıt İsteği Il StartCom Certification Authority o StartCom Certification Authority 17.09.2036 
5 İZİ Akıllı Kart Güvenilen Köl|| EŞİTC TrustCenter Class 2 CAN TC TrustCenter Class 2 CAN 01.01.2026 
p Güvenilir Aygıtlar İŞ Thawte Premium Server CA Thawte Premium Server CA 01.01.2021 
thawte Prima! oot thawte Prima! oot 
h Primary Root CA h Primary Ri CA 17.07.2036 
awte Server awte Server 4 
Th Sı CA Th Sı CA 01.01.2021 
awte Timestamping awte Timestamping 4 
Th Ti ing CA Th Ti ing CA 01.01.2021 
ÜBİ ök Sertifika H... TÜ ök Sertifika Hiz... 4 
TÜBITAK UEKAE Kök Sertifika H... TÜBITAK UEKAE Kök Sertifika Hi 21.08.2017 
Ü ektronik Sertifika ... TÜ ektronik Sertifika : 
TÜRKTRUST Elekti ik Sertifiki TÜRKTRUST Elekti ik Sertifika Hi 22.12.2017 
Ü ektronik Sertifika ... TÜ ektronik Sertifika Hi... 16. 5 
TÜRKTRUST Elektronik Sertifik: TÜRKTRUST Elektronik Sertifika Hi... 16.09.2015 
5 orp 5 orp : 
UTN - DATAC SGC UTN - DATAC SGC 24.06.2019 
3 irst- Hardware E irst- Hardware 1 
UTN-USERFirst-Hard UTN-USERFirst-Hard 09.07.2019 
İUTN-USERFİrst-Object UTN-USERFirst- Object 09.07.2019 
ŞlVeriSign Class 3 Public Primary ... VeriSign Class 3 Public Primary Ce... 17.07.2036 
| VeriSign Commercial Software ... VeriSign Commercial Software Pu... 
VeriSign C. ial Softw: VeriSign Ci ial Software P 31.12.1999 
VeriSign Commercial Software ... e VeriSign Commercial Software Pu... i 
iSign C. ial Softw. iSign C. ial Software P 08.01.2004 
eriSign Trust Networl 'eriSign Trust Networl 1 
VeriSign Tı N k VeriSign Ti N k 19.05.2018 
-gi VeriSign Trust Networl 'eriSign Trust Networi ğ m | 
VeriSign Tı N k VeriSign Tı N k 02.08.2028 
* "e rj)<| ' | | 
Güvenilen Kök Sertifika Yetkilileri deposunda 50 sertifika var. 
mz — — a m a 


IBM PComm Emulatör'ünde Yapılacak İşlemler 


1. IBM Pcomm İstemci oturumundaki çubuğun üzerindeki İletişim sekmesini 


tıklayın. Aşağıdaki pencere açılır. 


p Anasistem bağlarttısı seç 


Anasistem tipi: 


Arabirim: LAN - 


Bağlarttı: Telnet 32/0 - | 
Bağlarıtı değiştirgeleri... | Oturum değiştirgeleri... | 


“Bağlantı - Genel Bakış 


Bağlantı Anasistem tipi 


— — TCPAP —— 


Telnet3270 


- Bu bağlantı, TN3270 ya da TN3270E arabirimi kullanılarak TCP/IP ağı üzerinden IBM zSeries 
anasistemine erişim sağlar. Hizmet Yeri Protokolü, SSL V3 ve TLS1.0 güvenlik katmanı şifrelemesi, yük 
dengeleme ve yedek anasistem de sağlarır. 

- Bu seçim, tipik olarak TCP/IP protokollerini çalıştıran ağlarda kullanılır. 

- Bu bağlantı, NVT uçbirimlerini destekleyen bir güvenlik duvan üzerinden bir anasistem ağına bağlanmak 


iptal | Yardım | 
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2. Bağlantı değiştirgeleri tuşunu tıklayın, aşağıdaki pencere açılır. 


Telnet3270 > 


Host Defintion Securnty Setup O Printer Association 


Host Name or LUor Port 

IP Address Pool Name Number 
Primary feri 1 3 s92 
Backup 1 23 
Backup 2 23 
Connection Options 
Connection Timeout 6 S-| Seconds 


Lİ Avto-econnect 
Try connecting to last corfigured host irfinitely 


Keep Alive 
İLİ Enable Telnet Keep Alive NOP 
Keep Alive Time Out 180 Seconds 


Sane eriş Ha 


Anasistem adı yada IP adresine bilgileri girin ve port numarasına 992 girin. 
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3. Çubukta yer alan Güvenlik Ayarı tuşunu tıklayın ve açılan penceredeki alanları 


aşağıdaki gibi doldurun. 


Telnet3270 X 


Host Definition o Security Setup | Printer Association 


| | Enable Security 
Telnetnegotiated 
Security Package 


Microsoft CryptoAP!l (MSCAPI 


Server Authentication 


Check for Server Name and Certificate Name Match 


Server Name Identification 
Enable Server Name Identification 
Server Name 
Type: 
Mandatory 


Övemidable 


Client Authentication 
Send Personal Certificate to Server f it is Reguested 
Certificate Selection 
Send Personal Certificate Trusted by Server 
Send Personal Certificate Based orı Key Usage 
Key Usage 
Select or Prompt for Personal Client Certificate 


Select now 


Gare Dİ 


OK tuşuna bastığınızda işlem tamamlanmış olacaktır. 
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SSL üzerinden Güvenlikli FTP Yapmak için Konfigürasyon 


Ayarları 


SSL üzerinden Güvenlikli FTP Yapmak için mainframe'deki TCPIP'nin TCPPARMS 


kütüphanesindeki 


FIPSDATA member'ında aşağıdaki değişikliklerin (o yapılması 


gerekmektedir VBT ile gösterilen değerler SSL için girilmiştir: 


Security options 


EXTENSIONS 


SECURE FTP 


SECURE LOGIN 


SECURE DATACONN 


KEYRING 


TLSRFCLEVEL 


AUTH TLS 


REÇUIRED 


NO CLIENT AUTH 


PRIVATE 


SharedRingl 


RFC4217 
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Enable TLS authentication ---VBT 
Default is disabled. 


; Authentication indicator 


; ALLOWED (D) 


; REÇUIRED —-—-VBT 


; Authorization level indicator 


for TLS 


; NO CLIENT AUTH (D) 
; REÇUTRED 
; VERIFY USER 


inimum level of security for 


the data connection 


; NEVER 
; CLEAR (D) 


SAFE 
PRIVATE ———VBT 


It can be the name of a z/0S Unix 


file (name starts with /) or 


a resource name in the security 


; product (e.g., RACE) —-——VBT 


Specify what level of REC 4217, 


; On Securing FTP with TLS, is 


supported. 
DRAFT (D) Internet Draft level 
; REFC4217 REC level 
480/525 


EK D. RACF Veri Tabanını Kurtarma Yöntemleri 
Genel Bakış 


RACF veri tabanına yapılan aktiviteler için (aktivitelerin çoğu veri tabanından bilgi okuma 
amaçlı olduğundan) yalnızca primary veri tabanını kullanır. Profil değişiklikleri yapıldığı 
zaman, RACF hem primary hem de aktifse yedek veri tabanını günceller. Ayrıca 
istatistikler de her iki veri tabanına kaydedilir. Yetki kontrolleri, kullanıcı doğrulaması ve 
listeleme seçenekleri sadece primary veri tabanını kullanır. RACF veri tabanı ile ilgili 
problemler çok sık meydana gelmez. RACF veri tabanında hata olduğunu 
düşündüğünüzde, hataların şiddetine göre uygulanacak kurtarma yöntemlerinden birini 


seçmelisiniz. 


Ufak hatalarda (hatalar sisteminizi şiddetli olarak etkilemiyorsa), RACF veri tabanı 
doğrulama utility programı olan IRRUT200'ün çalıştırılması düşünülebilir. Bu utiliti veri 
tabanının iç düzenlemesindeki uyıumsuzlukları bulup ortaya çıkarmak için kullanılabilir. 
Eğer IRRUT200'ün çalıştırılması problemi tanımlamaya yetmiyorsa, RACF veri tabanı 
indirme utiliti programı olan IRRDBUO00 kullanılabilir. Bu utiliti hatayı tanımlamaya yardımcı 


olabilir. 


IRRUT200 ya da IRRDBUO00O programlarından birini çalıştırdıktan sonra, yapılacak ilk iş 
RACF komutlarını kullanarak hatayı sabitleştirmektir. Eğer bu da işe yaramazsa, RACF 
veri tabanını değiştirmek için BLKUPD kullanmak gerekir. 

Daha şiddetli hatalar için RVARY komutu kullanılmalıdır. RVARY komutu RACF veri 


tabanını aktif etmek, deaktif etmek, switch etmek için kullanılabilir. 


RACF block update komutu (BLKUPD) 


RACF blok update komutunu (BLKUPD) kullanarak doğrudan veri tabanının internal 
elemanlarını değiştirerek RACF veri tabanını tamir edebilirsiniz. Bu doğrudan müdahale 
tutarsız ve dolayısıyla kullanılamaz bir veritabanı yapısına neden olabileceğinden, 
BLKUPD kullanırken çok dikkatli olmalısınız. 
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Bir RACF veritabanındaki herhangi bir bloğu incelemek veya değiştirmek için BLKUPD 
kullanabilirsiniz: bu blok bir veri bloğu, dizin bloğu, BAM bloğu veya ayrılmamış blok 


olabilir. 
BLKUPD komutunu kullanabilmek için RACF veri tabanına UPDATE yetkiniz olmalıdır. 


Dikkat: 

BLKUPD komutunu kullanmadan önce, RACF veritabanına ve yapılandırmasına aşina 
olmalısınız, çünkü BLKUPD'nin yanlış kullanılması RACF veritabanına zarar verebilir. 
BLKUPD komutunu girmeden önce veritabanının formatını okuyup anlamalısınız. RACF 
veritabanınıza güncelleme yapmak için BLKUPD komutunu kullanmadan önce, söz 
konusu girişi değiştirmek veya silmek için diğer RACF komutlarından birini kullanmayı 


bilmelisiniz. 


e BLKUPD komutu kullanılırken, aşağıdaki genel kurallara uyulmalıdır: 
— BLKUPD komutunu RACF veri tabanının en yoğun kullanıldığı saatlerde 


kullanmayın, çünkü bu komut veri tabanına seri erişimlerin kuyruğa girmelerine 
(GRS ENOs) ya da donanımsal RESERVES'lere neden olur. 
— BLKUPD sadece TSO komutu ile verilebilir. 


— BLKUPD'yi, RACF sysplex veri paylaşım grubunun üyesi olan bir sistemde etkin 
olan bir veritabanında çalıştırmanız gerektiğinde, yardımcı programı her zaman 
gruptaki bir sistemden çalıştırın ve alias'ı değil de, asıl adını kullandığınızdan emin 
olun. Aksi takdirde, RACF veritabanınıza zarar verebilir veya yardımcı programdan 


öngörülemeyen sonuçlar alabilirsiniz. 


»e BLKUPD komutunu kullanmadan önce: 
— Diğer RACF komutlarını kullanarak hatayı düzeltmeyi deneyin. 


— RACE veri tabanının bir kopyasını alın. BLKUPD komutunu bu kopya üzerinde 
kullanın. Use BLKUPD on the copy. IBM problemi çözerken daha fazla tanıda 


bulunmak için bu kopyayı kullanabilir. 
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— IRRUT200 yardımcı programını kullanın. Çıktı, veritabanının hasarlı bölümünü 
belirlemede faydalı olabilir. 

» İleride teşhise kolaylık ve referans olması için yapılan tüm değişiklikleri belgeleyin. 

» RVARY komutuile tamir edilmiş veri tabanını online edin ve düzeltmenizi test edin. 

» Düzeltme doğrulandıktan sonra, düzeltmeyi “gerçek” veritabanına uygulayın ve 
RVARY komutu ile bu veritabanını ONLINE edin. 

» Bir profil söz konusuysa, profilin kendisini onarmaya çalışmak yerine, profile işaret 
eden dizin entry'sini (index) silin. 

» Daha sonra profili ve dizin entry'sini (index) eklemek için bir RACF komutu kullanın. 
»e BAM bloklarını düzeltmek için BLKUPD komutunu kullanmayın. Bunun yerine, BAM 
bloklarını yeniden oluşturmaya yarayan IRRUT400 yardımcı programını kullanın. 

» Eğer RACF veri tabanının tutulduğu data set RACF korumalı bir data set ise, bu 
data sete en az UPDATE yetkiniz olması gerekir. 

» BLKUPD bir APF-authorized TSO komutu olarak çalışır. 

e TSO prompt ON durumuna set edilmelidir. 
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BLKUPD komutunun Hiyerarşisi 


BLKUPD 
READ 


LIST 
FORMAT 
FIND 
REP 


DISPLAY 


REREAD 
END 


LOCATE 
END 


BLKUPD komutu ile alt komut seviyeleri arasındaki ilişki 

BLKUPD komutunun Kullanımı 

BLKUPD komutunun Yazımı 

BLKUPD Jracfbnamel 

Burada racfbname RACF veri tabanının tutulduğu data set'in ismidir. İsim 1 ila 44 karakter 
arasında olabilir. 

BLKUPD komutunu kullanmak için aşağıdaki prosedürü uygulayın: 


1. Hangi veri tabanı üzerinde çalışacağınıza karar verin (asıl veri tabanı mı? yedek 
veri tabanı mı?). 

2. Veri tabanındaki hangi blok üzerinde çalışmak istediğinizi belirleyin. Gerekirse, 
belirli bir bloğu bulmanıza yardımcı olmak için LOCATE alt komutunu kullanın. 

3. UPDATE ya da NOUPDATE belirterek READ alt komutunu girin. 


4. Yardımcı programı sonlandırmak için END komutunu girin. 
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Locate alt komutu 

Locate alt komutu, adreslemek istenen bloğun göreli bayt adresini bulmak için kullanılır. Bu 
alt komut, dizin kümesindeki bir index entry'sini bulur ve entry adını içeren seviye-1 dizin 
bloğunun içeriğinin biçimlendirilmiş bir listesini görüntüler. İsteğe bağlı olarak, LOCATE alt 
komutu, zincirdeki tüm dizin bloklarının en yüksek seviye dizin bloğundan uygun seviye-1 
bloğa kadar bloğun bir listesini görüntüler. 


Locate alt komutunun yazımı şu şekildedir: 


LOCATE ENTRY(entryname) 
CLASS/(classname) 
(GENERİC) 

(LISTALLJ 


Burada; 
ENTRY(entryname): Bulunacak dizin girişini belirtir; entryname, tırnak işareti içine 


alınabilir veya alınmayabilir. 1 - 255 karakter olabilir ve onaltılık veri içerebilir. 
ENTRY(I X'C2' MUSER) bu ENTRY(IBMUSER)'in eşleniğidir. 


Karışık harfli bir entry adı belirlemek için, entry adı tırnak işaretleri içine alınmalıdır. Eğer 
entry adını tırnak işareti içine almazsanız, entry adı girdiğiniz duruma bakılmaksızın büyük 
harf olarak kabul edilir. 

Örneğin; 

LOCATE ENTRY(irrsitec) CLASS(USER) girerseniz, RACF index entry'yi IRRSITEC olarak arar. Eğer 


enitry'yi tırnak içinde girerseniz o zaman irrsitec olarak arar. 
LOCATE ENTRY( irrsitec”) CLASS(USER) 


CLASS/(classname): 
Aşağıdakilerden biri olabilir. 

» GROUP 

» USER 

e DATASET 

» oGeneralresource'un class adı 
GENERİC 
Entry adının generic olduğunu belirtir. 
LISTALL 
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sıradüzeni zincirindeki tüm dizin bloklarının görüntüleneceğini belirtir. 
READ alt komutu 
READ alt komutu RBA tarafından belirtilen bloğu (göreceli blok adresi) belleğe okur ve onu 
bir çalışma alanına kopyalar. 
READ rba JUPDATEJ 
INOUPDATEJ| 
UPDATE 


RACF veri tabanındaki bloklardan birinin update edileceğini belirtir. 
NOUPDATE 


RACF veri tabanındaki bloklardan birinin değiştirilmeyip sadece, inceleneceğini belirtir. 
READ'in alt komutları 
LIST: Bloğun kısımlarını onaltılık olarak görüntüler. 
FORMAT: Bir index bloğunun içeriğinin biçimlendirilmiş bir listesini üretir. 
FIND: Veri bloğundaki offseti bulur. 
REP: Blok'taki veriyi değiştirir. (sadece UPDATE komutu ile geçerlidir). 
DISPLAY: Bir index bloğunun entrilerini bir defada gösterir (Bununla ilişkili pek çok alt 
komutlar vardır). 
REREAD: Çalışma alanındaki yeni bloğu eski bloğu ile kaplar (sadece UPDATE anahtar 
kelimesi ile geçerlidir). 
END: Terminates the READ fonksiyonunu durdurur. 


FIND alt komutu 
FIND alt komutu, bloktaki bir dizgenin onaltılı ofsetini bulur. 


FIND string |(OLD|J 
INEWJ 
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RVARY komutu (RACF veri tabanının durumunu değiştirme) 


Komutun Amacı 


RVARY komutu: 


o Gerekli olduğu durumlarda, RACF işlevini devre dışı bırakır ve yeniden etkinleştirir. 

o Asıl data set arızalandığında, karşılık gelen yedek data seti esas data setin yerine 
geçirir. 

o Asıl veya yedek RACF data setlerini devre dışı bırakır veya yeniden etkinleştirir. (Asıl 
data setin devre dışı bırakılması, bu data sete erişim için yapılan tüm RACF 
isteklerinin başarısız olmasına neden olur. Belirli bir yedekleme data setinin devre dışı 
bırakılması, RACF'nin bu data sete bilgi girmesini durdurur.) 

o RACF etkin değilken CDT'de (class tanımlayıcı tablosunda) tanımlanan class'lara ait 
tüm kaynaklar için korumayı devre dışı bırakır. 


o Sysplex iletişimi için RACF etkinleştirildiğinde çalışma modunu seçer. 


RACF devre dışı bırakılırken, RACF veritabanındaki mantıksal hataları tanılamak ve 


onarmak için yardımcı programlar çalıştırılabilir. 


RACF kurulum exit'leri, RACF korumalı kaynaklara erişim talepleri için özel işlem 


sağlayabilir (örneğin, operatörden erişime izin vermesini veya reddetmesini isteyerek). 


RACF data setinin kendisi RACF korumalı ise,kurulum exit rutinini çalıştırabilen RACF 
failsoft işlemi, RACF veritabanına erişimi denetler. RVARY komutunu kullanarak RACF'yi 
devre dışı bıraktığınızda, yalnızca TSO SYS1.UADS'de tanımlanan kullanıcılar TSO'da 
oturum açabilir ve RACF bu kullanıcı kimliklerini doğrulamaz. RACF etkin olmadığında, 


failsoft processing işleme geçer. 
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failsoft kavramı Donanım veya yazılım hataları olduğunda sistemdeki esas önemli işler 
dışındaki işlemleri sonlandırmak için tasarlanmış bir yöntemdir. Failsoft durumunda 
sistemler kısmi olarak çalışırlar. Her işlem operatör onayı bekler. Bu da, mainframe 


performansını olumsuz yönde etkiler . 


Not: Failsoft işlemi yalnızca tüm asıl RACF data setleri etkin olmadığında gerçekleşir. 
Birden fazla RACF data setiniz varsa ve yalnızca biri etkin değilse, ABEND'ler yaşamanız 


muhtemeldir. 


Sistem RACF etkinken IPL edilmişse ve RVARY kullanımı RACF'nin durumunu 
değiştirirse, RACF, RVARY komutunun her kullanımını log'a (günlüğe) kaydeder. Örneğin, 
zaten etkin olmayan bir RACF veritabanını devre dışı bırakmak için RVARY'yi verirseniz, 
RACF'nin durumunu değiştirmezsiniz. Bu nedenle, RACF bu özel RVARY kullanımını 
günlüğe kaydetmez. Sysplex iletişimi için RACF etkinleştirildiğinde, RVARY komutlarının 


günlüğü kayıt edilmesi sadece komutun verildiği sistemde gerçekleşir. 


RVARY komutu ile IPL yapmadan RACF veri tabanları switch, aktif ya da deaktif edilebilir. 
Kurtarma sırasında, failsoft durumuna düşmeden asıl veri tabanı aktif tutulabilir. Asıl 
RACF data setini devre dışı bırakır ve katalogdan çıkarır ve alternatif bir data setiyle 
değiştirirseniz, alternatif data setin kataloglanması ve etkinleştirilebilmesi için orijinal data 
setiyle aynı ada sahip olması gerekir. Bir RACF data setini devre dışı bıraktığınızda (ve 
yeniden konumlandırdığınızda), data seti bir DASD'den diğerine taşıyabilirsiniz. Bir data 
seti yeniden kataloglamadan önce, RVARY INACTIVE veya RVARY SWITCH komutunu 


vererek data seti devre dışı bırakmalısınız. 


Kural: failsofttan sakınmak için, RVARY INACTIVE komutu yerine RVARY SWITCH 
komutunu kullanmak daha doğrudur. 

Not: Eğer asıl RACF veri tabanının data set'inde bir /O hatası meydana gelirse, device 
offline ya da boxed durumuna geçer ve eğer yedek veri tabanı aktifse RACF, operatör 
müdahalesine gerek duyurmadan ve Password girilmesi gerekmeden RVARY SWITCH 
komutunu işleme sokar. MVS operatörü ROUTE * ALL ve ROUTE sistem grubu adı 


komutlarına yalnızca RVARY LIST ile izin verilir. 
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RVARY komutunu vermek için gerekli yetkiler 


RVARY komutunu vermek için özel bir yetki gerekmez. Ancak, operatör (operatör 
konsolunda veya güvenlik konsolunda) RACF komutun tamamlanmasına izin vermeden 
önce RACF durumundaki veya RACF data setindeki bir değişikliği veya RACF sysplex 
iletişimi için RACF etkinleştirildiyse çalışma modundaki bir değişikliği onaylamalıdır. 


RVARY komutu RACF veya veritabanı durumunu (AKTİF / İNAKTİF) değiştirirse, RACF bir 
bilgi mesajı verir ve operatörün değişikliği yetkilendirmek için RVARYPW DURUMU 


(status-pw) tarafından tanımlanan şifreyi girmesi gerekir. 


RVARY komutu RACF data setlerini (SWITCH) değiştirirse veya RACF çalışma modunu 
(DATASHARE / NODATASHARE) değiştirirse, RACF bir bilgi mesajı verir ve operatörün 
RVARYPW SWITCH (switch-pw) tarafından tanımlanan şifreyi girmesi gerekir. RVARY, 
master yetkisine sahip bir konsoldan RACF operatör komutu olarak verildiğinde, RVARY 
ACTIVE, RVARY NODATASHARE veya RVARY SWITCH komutları için varsayılan YES 


şifresi de kabul edilir. 

Komut Syntax'ı 

subsystem-prefix)RVARY 

(ACTIVE 

|INACTIVE 

|INACTIVE NOCLASSACT/(class-namelist | *) 
|INACTIVE(NOTAPE) 

| DATASHARE 

| NODATASHARE 

| SWITCHJ 


| DATASET (data-set-name... | 9) | 


ILIST| NOLISTJ 
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Örnekler: 


RVARY LİST 

#RVARY INACTIVE,DATASET(RACF.PRIM1) 
#RVARY ACTIVE,DATASET(RACF.BACK1) 
#RVARY SWITCH,DATASET(RACF.PRIM1) 
RVARY NODATASHARE 

RVARY DATASHARE 


Shared veri tabanı konusu 


RACF veri tabanı diğer sistemlerle paylaşıldığında RVARY komutunun kullanılması daha 


karmaşık olur. 


Genel olarak RACF veri tabanının yapılandırılmasına uygun olarak bütün sistemler 
senkronize olmalıdır. Eğer veri tabanı birden fazla sistem tarafından paylaşılıyorsa ve 
RVARY SWİTCH ya da RVARY INACTIVE komutu ile asıl veri tabanını kullanan 
sistemlerden biri durursa, veri tabanını paylaşan tüm sistemlerde de aynı şey yapmalıdır, 
aksi takdirde beklenmeyen sonuçlar ortaya çıkabilir. Bu yüzden, eğer bir sistemden 
RVARY SWITCH ya da RVARY INACTIVE komutu girilmişse, veri tabanını paylaşan diğer 


sistemlerin herbirinde de bu komut girilmelidir. 


Not: Eğer RACF sysplex iletişimi için etkinse, RVARY SWITCH ve RVARY INACTIVE 
komutlarını hangi sistemden gireceğinizi size iletir. Bu nedenle komutu bir kez vermeniz 
yeterli olacaktır. RACF, sysplex iletişimi için etkinleştirildiğinde RVARY DATASHARE ve 
RVARY NODATASHARE komutlarını da yayınlar. 


RVARY password konusu 


SETROPTS komutundaki RVARYPW operandının iki alt operandı vardır: 
SWITCH(switch-pw) ve STATUS/status-pw). 
SWITCH(switch-pw) RACF veri tabanını switch etmeye yetkili bir password tanımlar ya da 
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eğer RACF sysplex iletişimine etkinse, RACF işletim modunu değiştirmeye yetkili 


password'ü tanımlar. 
STATUS(status-pw) ise RACF'i aktif ya da deaktif yapmaya yetkili password'ü tanımlar. 


Konsol operatörü, şifre girilmesini isteyen RVARY komut mesajını (ICH702A veya 
ICH703A) aldığında, ilk önce komutu veren kişinin komutu girme yetkisine sahip olup 
olmadığından emin olmak için kullanıcı kimliğini denetler. Eğer komutu veren kişinin kimliği 
doğruysa, operatör isteğin tamamlanmasına izin vermek için RACF veri tabanını 
değiştirmesi, etkinleştirmesi veya devre dışı bırakması veya RACF çalışma modunu 


değiştirmesi için kurulum tarafından tanımlanan şifreyi girer. 


Kurulumunuz RVARY için şifre koruması sağlamamayı seçerse, operatör, RVARY'nin 


tamamlanmasına izin vermek için YES girmelidir. 


Bir kurulum operatöre şifreleri vermemeyi, şifreleri sadece güvenlik yöneticisinin kontrolü 
altında tutmayı seçebilir. Güvenlik yöneticisi operatöre gerektiğinde şifreleri verebilir. 
Güvenlik yöneticisi, operatöre şifreyi verdikten sonra, güvenlik amacıyla şifreyi 
değiştirmelidir. 


Kurulum tarafından tanımlanan şifre mevcut olmadığında veya kaybolduğunda veya tahrip 
olduğunda kurtarma eylemlerinin gerçekleştirilmesi için RVARY, bazı durumlarda YES olan 


varsayılan şifresini kullanmanızı sağlar. 


RVARY yetkili bir konsoldan operatör komutu olarak verildiyse ve AKTİF, NODATASHARE 
veya SWITCH işlevi istendiyse, RACF hem varsayılan şifreyi hem de kurulum tanımlı 
şifreyi kabul eder. 


RACF veri tabanında bir | / O hatası meydana geldiğinde ve RACF yedek veri tabanına 
otomatik bir RVARY SWITCH yaptığında, operatörün şifre girmesi gerekmez. 
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Veri tabanı VO aktivitesinin susması 


RVARY INACTIVE DATASET, SWİTCH, DATASHAREve NODATASHARE komutları 
işlemlerine devam etmeden önce RVARY'nin RACF veri tabanı /O aktivitesini 


susturmasını gerektirir. 


Veri tabanının durumu değiştirilirken herhangi bir veri tabanı | / O etkinliği devam ediyorsa, 
veri tabanı bozulabilir. Veri tabanı etkinliğini susturmak için, RVARY gname'i SYSZRAC2 
olarak isimlendirilen sistem çaplı özel bir ENOueue elde eder ve RVARY komutundan 


etkilenen her bir data set adı rename edilir. 


RVARY ayrıca şunları da alabilir : 
e Sistem kapsamlı özel bir RESERVE (RACF data sharing modunda olmadığında) 
» Sistem kapsamlı bir ENOucue (RACF data sharing modunda olduğunda) 


Bunlar gname < SYSZRACF ve rnamez data set-adı (RVARY komutundan etkilenen her 
bir data set için) belirtir. Tüm veri tabanı | / O aktiviteleri, aynı RESERVE veya ENCueue 
serileştirme tekniklerini kullanan RACF yöneticisi aracılığıyla yapılır (yazma için özel veya 
okuma için paylaşımlı). Bu yüzden, RVARY girildiğinde ENOueu'lar ya da RESERVE'ler 
oluşursa, komut girilmeden önceki tüm W/O aktiviteleri tamamlanır ve RVARY işlemi sonra 


devreye alınır. 


Eğer VO hataları ya da başka problemler (/O aktivitesinin tamamlanmasını engelliyorsa o 
zaman RVARY ilerleyemez. Problemi tam olarak tespit etmeniz, belki de job'ları ve 


kullanıcıları cancel etmeniz gerekir. 


Veri tabanının bulunduğu DASD ünitesi arızalandıysa ve yanıt vermiyorsa, DASD ünitesini 


çevrimdışı duruma getirmeye zorlamanız gerekebilir. 


Bu adımlardan herhangi birini uygulamak gerekliyse, IRRUT200 ve IRRDBUO00 yardımcı 


programlarını çalıştırarak veri tabanının bütünlüğünü doğrulamanız gerekir. 
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RVARY SWITCH 


Eğer yedek veri tabanı varsa, arızalanan esas veri tabanını yedek veri tabanı ile 
değiştirmek için RVARY SWITCH komutu kullanılabilir. 


RVARY SWİTCH komutunu girmeden önce, yedek veri tabanının aktif olduğundan emin 
olmak gerekir. Komutun SWITCH seçeneği o andaki asıl veri tabanını deaktif eder ve 
yedek veri tabanını asıl veri tabanı yapar. Arızanın olduğu andaki asıl veri tabanı kullanım 


dışı olur. 
Orijinal asıl veri tabanı tamir edilmeli ve ilk fırsatta aktif edilmelidir. 


RVARY SWITCH komutu girildiğinde, veri tabanı buffer'ları da switch olur. RACF sysplex 
iletişiminde etkin olmadığı durumda, yeni primary veri tabanı (orijinal yedek veri tabanı) ile 
bufferlarını (ara bellek kümelerini) birleştirir ve bufferları orijinal primary veri tabanından 


çıkarır (yeni yedek veri tabanı). 


Sysplex iletişiminde RACF etkin olduğu durumda ve RVARY SWITCH komutu girildiğinde, 
RACF buffer'ları yeni primary veri tabanına (orijinal yedek veri tabanı) switch eder ve yeni 


yedek verği tabanının buffer'larını azaltır (orijinal primary veri tabanı). 


RVARY SWITCH komutundan sonra, coupling facility structure'ları orijinal primary ile 


ilişkilendirilir ve orijinal yedek ile ilişkilendirilenler yeni yedek ile ilişkilendirilir. 


Dikkat: RVARY SWITCH komutunu girdiğinizde mevcut durumdaki yedek olan veri 
tabanını yeni primary veri tabanı olarak kullandığınız için, yeni yedek veri tabanınız 
otomatik olarak kullanım ve devre dışı olacaktır; bu yüzden, yeni yedek veri tabanını 
yeniden yürürlüğe sokmanız ve aktif etmeniz için RVARY ACTIVE komutunu girmeniz 


gerekir. 
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RVARY ACTIVE ya da INACTIVE 


Yedek veri tabanı olmadığı durumda: Eğer kurulumunuzda yedek veri tabanı 
bulunmuyorsa ve asıl veri tabanını kullanım dışına almanız gerekiyorsa, RVARY 
INACTIVE komutunu kullanmanız gerekir. Eğer veri tabanınız tek bir data setten ibaretse, 
bu komut RACF'i failsoft (geçici hata durumu) durumuna sokar. Eğer RACF veri tabanı 
birden çok data set'lerde ise ve onlardan bazıları aktifse, o zaman abend durumları ile 


karşılaşabilirsiniz. 


Yedek veri tabanı olduğu durumda: Asıl RACF veri tabanını deaktif ettiğinizde, yedek 
aktif olsa bile RACF yedek veri tabanını kullanmaz. Bu nedenle, RVARY SWITCH 
komutunu kullanmanız önerilir. | Yedek veri tabanını deaktif edebilirsiniz ve asıl veri 


tabanını aktif tutabilirsiniz. 
Örnek kurtarma yöntemleri 


Veri tabanı hatası ister tek bir data set'te olsun ister birden çok data set'te olsun, sadece 
bozulan data set kurtarılmalıdır. RVARY komutunu girdiğinizde, DATASET operandına 
bozulan data set'in ismi girilmelidir. Genel olarak default (varsayılan) data set ismine izin 
verilmemelidir. DATASET operandını kullanırken, kazara bile olsa yanlış bir data seti 
işleme almaktan sakınınız. 


Aşağıda olası hata durumlarında başvurulacak kurtarma senaryoları geliştirilmiştir. 


Asıl veri tabanı hatalı, yedek veri tabanı etkilenmemiş durumda kurtarma 


1. Yedek veri tabanının aktif olduğundan emin olun. 


RVARY LIST komutunu girin; 


/ZRVARY LIST 


ICH150131I RACF DATABASE STATUS: 

ACTIVE USE NUM VOLUME DATASET SHR 
YES PRIM 1 D9ARFI RACF.PRIM.RI7.P1 

YES BACK 1 D9JARF2 RACF.BACK.RI17.BI N 
YES PRIM 2 D9ARFI RACEF.PRIM.RI7.P2 

YES BACK 2 D9JARF2 RACF.BACK.R1I7.B2 N 
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2. Aşağıdaki eylemlerden birini yapın: 


a. RVARY SWITCH komutunu girin (yedek veri tabanı şimdi yeni asıl veri tabanıdır). 


/#RVARY SWITCH, DATASET (RACF.PRIMI) 


ICH150131 RACF DATABASE STATUS: 


ACTIVE USE NUM VOLUME DATASET 
NO BACK 1 *DEALLOC RACF.PRIMI 
YES PRIM 2 D9ARFI RACF.PRIM2 
NO BACK 2 D9ARFI RACF.BACK2 
YES PRIM 3 D9ARFI RACF.PRIM3 
NO BACK 3 D9ARFI RACF .BACK3 


b. Asıl veri tabanının olduğu device'ı offline edin. RACF otomatik olarak RVARY 
SWITCH komutunu yürürlüğe sokar. 


3. Aşağıdaki eylemlerden birini yapın: 


a. BLKUPD'yi kullanarak, orijinal asıl veri tabanındaki problemi düzeltin. 


b. Eğer veri tabanının bulunduğu device erişilebilir durumdaysa, IRRUT200 ya da 
IRRUT400 yardımcı programlarını kullanarak yedeği (yeni primary) orijinal primary'e 


kopyalayın. 


c. Eğer veri tabanının bulunduğu device erişilebilir durumda değilse, primary 'yi farklı 
bir DASD device'ında allocate edin, katalog layın ve IRRUT200 ya da IRRUT400 
yardımcı programlarını kullanarak yedeği (yeni primary) buna kopyalayın. Veri 
tabanını paylaşan tüm sistemlerde oluşturduğunuz yeni veri tabanını 


kataloglamalısınız. 
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5. Orijinal primary ya da yerdeğiştirilen primary için 


girmelisiniz. 


#RVARY ACTIVE, DATAS 
ICH150131I RACF DATABASE STATUS: 


ACTIVE USE 
YES BACK 
YES PRIM 
YES PRIM 
NO BACK 
YES PRIM 
NO BACK 


NUM VOLUME 


D9ARFI 
D9ARFI 
D9ARFI 
D9ARFI 
D9ARFI 
D9ARFI 


ET (RACF.PRIMI) 


RVARY ACTIVE komutunu 


4. Eğer 3b seçeneğinde IRRUT400'ü LOCKINPUT ile kullandıysanız, yeni primary 
(orijinal yedek veri tabanı) yi unlock etmek için IRRUT400'ü UNLOCKINPUT seçeneği 


ile çalıştırmalısınız. 
5 


6. 6. RVARY SWITCH komutunu girin. 


/>RVARY SWITCH, DAT 


ICH150131I RACF DAT 


ACTIVE USE 
YES PRI 
NO BACK 
YES PRIM 
NO BACK 
YES PRIM 
NO BACK 


7. Yedek veri tabanı (orijinal 


TAS 


TABASE STATUS: 
NUM VOLUME 


1 


EW WE MWMNM PR 


#RVARY ACTIVE, DATAS 


D9ARFI 

D9ARFI 
D9ARFI 
D9ARFI 
D9ARFI 
D9ARFI 


ICH150131I RACF DATABASE STATUS: 


ACTIVE USE 
YES PRIM 
YES BACK 
YES PRIM 
NO BACK 
YES PRIM 
NO BACK 


NU 


VOLUME 
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ET(RACF.PRIM2) 
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yedek) için RVARY ACTIVE komutunu girin. 
ET (RACF.PRIM2) 


Yedek veri tabanı hatalı, asıl veri tabanı etkilenmemiş (düzgün) durumda kurtarma 


1. 


Yedek veri tabanını inaktif etmek için RVARY INACTIVE komutunu girin. 
#RVARY INACTIVE,DATASET(RACF.PRIM2) 


. Aşağıdaki eylemlerden birini seçin: 


a. BLKUPD'yi kullanarak yedek veri tabanındaki problemi giderin. 
b. Eğer device erişilebilir durumdaysa, IRRUT400 ya da PARM-ACTIVATE 
seçeneği ile IRRUT200'ü kullanarak primary'yi yedeğe kopyalayın. 
c. Eğer device erişilebilir durumda değilse, yedeği farklı bir device üzerinde allocate 
edin, kataloglayın ve IRRUT200 ya da IRRUT400 kullanarak, primary'yi buna 
kopyalayın. 

Eğer IRRUT400'ü ya da 2b seçeneğinde IRRUT200'ü PARMZ-ACTIVATE 
kullanmadan seçtiyseniz, yedek için RVARY ACTIVE komutunu girmelisiniz. 

Eğer IRRUT200'ü PARM-ACTIVATE ile seçtiyseniz, yedek zaten aktif olacaktır. 


. Eğer 2b seçeneğinde IRRUT400'ü LOCKINPUT ile çalıştırdıysanız, yeni primary 


(orijinal yedek) unlock etmek için, IRRUT400'ü UNLOCKINPUT ile çalıştırın. 


Asıl veri tabanı hatalı, yedek veri tabanı yok 


RVARY INACTIVE komutunu girin. Failsoft işlemi (bakınız Appendix A) devreye 


girecektir. 


2. RACF veri tabanının en son dump'ını bulun 


3. Aşağıdaki eylemlerden birini yapın: 


a) Eğer device erişilebilir durumdaysa, dump'ı primary veri tabanına kopyalayın. 

b) Eğer device erişilebilir durumda değilse, farklı bir DASD device üzerinde RACF 
veri tabanını allocate edip, kataloglayın ve dump'ı bu yeni oluşturduğunuz veri 
tabanına kopyalayın. 

RVARY ACTİVE komutunu girin. 
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Örnek Komutlar 


Örnek 1 İşlem 


Komut 
Çıktı 
Varsayılanlar 


Örnek2 İşlem 


Bilgi 

Komut 

Çıktı 

Varsayılanlar 
Örnek 3 İşlem 

Bilgi 


Komut 
Çıktı 


Varsayılanlar 


Kullanıcı backup data set'lerin aktif olup olmadığını görmek 
istiyor. 


RVARY LIST 
Bakın Şekil 1. 
Yok. 


Operatör, belirli bir birincil RACF data setinde onarımlar 
yapmak için RACF'i geçici olarak devre dışı bırakmak istiyor. 


RACF alt sisteminin prefix'i # dir. 


#RVARY INACTIVE, DATASET (RACF.PRIMI) 

Bakın Şekil 2. 

LIST 

Operator yedek data set'i aktif etmek istiyor (RACF.BACK1). 


Yedek data set RACF.BACKT inactiveve RACF altsistem 
prefix'i 


#RVARY ACTIVE, DATASET (RACF.BACKI) 
Bakınız Şekil 3. 
LIST 
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Örnek 4 


Örnek 5 


Örnek 6 


İşlem 


Bilgi 

Komut 

Çıktı 
Varsayılanlar 


İşlem 


Bilgi 


Komut 
Çıktı 
Varsayılanlar 


İşlem 


Bilgi 


Komut 
Çıktı 


Varsayılanlar 


Operator birincil data set'i yedek data sete switch etmek 
istiyor. 


Yedek data set aktiftir ve RACF altsistem prefix'i # dir. 
#RVARY SWITCH, DATASET (RACF.PRIMI) 

Bakınız Şekil 4. 

LIST 


Kullanıcı RACF data set'inin IRRXCFO00 grubunun tüm üyeleri 
için update etmesine izin vermek için operating mode'u non- 
data sharing mode'a çevirmek istiyor. 


RACF sysplex iletişime uygundur fakat RACF cache 
structure'ları sistemler grup olarak IPL edildiğinde CF'de 
tanımlı değildir. Grubun tüm üyeleri read-only mode'dadır. 


RVARY NODATASHARE 
Bakınız Şekil 5. 
LIST 


Kullanıcı, CF performans iyileştirmelerinden yararlanmak için 
işletim modunu veri paylaşımsız modundan veri paylaşım 
moduna geçirmek istiyor. 


RACF sysplex iletişime uygundur. The user IPLed the system 
in non-data sharing mode to make use of RVARY and 
SETROPTS propagation, and is now ready to make use of 
the coupling facility. 


RVARY DATASHARE 


Bakınız Şekil 6. 
LIST 


Şekil 1. Örnek 1: RVARY LIST komutunun çıktısı 


ICH150131I RACF DATABASE STATUS: 

ACTIVE USE NUM VOLUME DATASET SHR 
YES PRIM 1 D9ARFI RACF.PRIM.RI7.P1 

YES BACK 1 D9JARF2 RACF.BACK.RI17.BI N 
YES PRIM 2 D9ARFI RACEF.PRIM.RI7.P2 

YES BACK 2 D9JARF2 RACF.BACK.R17.B2 N 


Şekil 2. Örnek 2: RACF.PRIMT'in deallocation ve deactivation'ı 


ICH150131 RACF DATABASE STATUS: 
ACTIVE USE NUM VOLUME DATASET 
NO PRIM 1 *DEALLOC RACF.PRIMI 
NO BACK 1 D9ARFI RACF.BACKI 
YES PRIM 2 D9ARFI RACF.PRIM2 
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NO BACK 2 D9ARFI RACF.BACK2 
YES PRIM 3 D9ARFI RACE.PRIM3 
NO BACK 3. D9ARFI RACF.BACK3 


Şekil 3. Örnek 3: RACF.BACK1'in aktif edilmesi 


ICH150131I RACF DATABASE STATUS: 

ACTIVE USE NUM VOLUME DATASET 

NO PRIM 1 *DFALLOC RACF.PRIMI 
YES BACK 1 D9ARFI RACF.BACKI 
YES PRIM 2 D9ARFI RACF.PRIM2 
NO BACK 2 D9ARFI RACF.BACK2 
YES PRIM 3 D9ARFI RACF.PRIM3 
NO BACK 3 D9ARFI RACF.BACK3 


Şekil 4. Örnek 4: RVARY SWITCH,DATASET(RACF.PRIM1) komutunun çıktısı 


ICH150131I RACF DATABASE STATUS: 

ACTIVE USE NUM VOLUME DATASET 

NO BACK 1 *DEALLOC RACF.PRIMI 
YES PRIM 2 D9ARFI RACEF.PRIM2 
NO BACK 2 D9ARFI RACF.BACK2 
YES PRIM 3 D9ARFI RACE.PRIM3 
NO BACK 3 D9ARFI RACF.BACK3 


Şekil 5. Örnek 5: RVARY NODATASHARE komutunun çıktısı 


ICH150191I Initiating propagation of RVARY command to members 
of RACF data sharing group IRRXCFO00 
ICH150131I RACF DATABASE STATUS: 


ACTIVE USE NUM VOLUME DATASET 
YES PRIM 1 D9ARFI RACF.BACKI 
NO BACK 1 *DEALLOC RACF.PRIMI 
YES PRIM 2 D9ARFI RACF.PRIM2 
NO BACK 2 D9ARFI RACF.BACK2 
YES PRIM 3, D9ARFI RACF.PRIM3 
NO BACK 3 D9ARFI RACF.BACK3 


MEMBER SYSI IS SYSPLEX COMMUNICATIONS ENABLED & 
IN NON-DATA SHARING MODE. 
ICH15020 RVARY command has finished processing. 


Şekil 6. Örnek 6: RVARY DATASHARE komutunun çıktısı 
ICH150191I Initiating propagation of RVARY command to members 


of RACF data sharing group IRRXCFO00 
ICH150131I RACF DATABASE STATUS: 


ACTIVE USE NUM VOLUME DATASET 

YES PRIM Ji D9ARFI RACF.BACKI 
NO BACK 1 *DEALLOC RACF.PRIMI 
YES PRIM 2 D9ARFI RACF.PRIM2 
NO BACK 2 D9ARFI RACF.BACK2 
YES PRIM 3 D9ARFI RACF.PRIM3 
NO BACK 3 D9ARFI RACF.BACK3 


MEMBER SYSI IS SYSPLEX COMMUNICATIONS ENABLED & 
IN DATA SHARING MODE. 
ICH15020 RVARY command has finished processing. 
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EK E. Sysplex veri paylaşımı yapan sistemlerde 


arıza meydana gelirse 


Coupling facility ile ilgili bir sorun RACF'nin veri paylaşım moduna girmesini önlediğinde, 


RACF kurtarma için çeşitli alternatifler sunar. 


benm Successful > Data Sharing 


gard 


RACF Sysplex çalışmasının anlatımı aşağıdaki şekilde gösterilmiştir. 


mam, 


RACF1 Coupling RACF2 
Facility 
ld 
Gü Ea 
GRS 


Database 


A 
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RACF Data Sharing ve Read-Only durumları 


Data Sharing Mode Read Only Mode 
RACF1 Coupling Facility RACF2 


KC EE ee a 


RACF 
Database 


Not: Coupling facility'nin aktif olmadığı sisteme structure'ın rebuild edilmesini zorlamak için 


SETXCF komutunu girmeye çalışmayın. Coupling facility aktif değilse RVARY 
DATASHARE komutunu girmeyin. Bu eylemler sistemin read-only durumuna girmesine 


sebep olur. Sistem IRRX004A RACF mesajı yayınlayarak read-only durumuna geçer. 


Yanlış bir SETXCF komutu girildiğinde read-only durumuna düşüldüyse, bu durumdan 
çıkmak için RVARY DATASHARE komutunu girin o zaman RACF orijinal coupling facility'yi 


kullanacaktır. 


Hiçbir coupling facility aktif değilse ya da RVARY DATASHARE komutu yanlış girildiği için 
read-only durumuna düşüldüyse, read-only durumundan kurtulmak için RVARY 
NODATASHARE komutunu girin. 


Eğer sistemlerin hepsi read-only durumundaysa ve coupling facility probleminin 
çözülmesini bekleyecek zamanınız yoksa, RVARY NODATASHARE komutunu girerek 
sistemi non-data sharing durumuna geçirebilirsiniz. Bu işlem RACF veri tabanına 


yapılacak update'lere izin verir. 
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Sysplex'te Kurtarma senaryoları 


CF structure'ların durumunu görüntülemek için, aşağıdaki komut kullanılır: 


D XCE,STR 

| 
IXC359I 12.16.50 DISPLAY XCF 807 
STRNAME ALLOCATION TIME Oo STATUS 
CACHECIC 03/10/1997 10:20:53 ALLOCATED 
CACHECICS 03/10/1997 10:20:51 ALLOCATED 
CICS CACHE 03/10/1997 10:20:50 ALLOCATED 
DFHXOLS TSOSPOA1 —3 ne NOT ALLOCATED 
DSNDSGA GBPO ne —- NOT ALLOCATED 
IRRXCFOO B001 03/14/1997 12:09:20 ALLOCATED 
IRRXCFO00 POO1 03/14/1997 12:09:18 ALLOCATED 


RACE structure'ıniın durumunu görüntülemek için ise; 
D XCF, STR, STRNM-IRRXCFOO POO1 


1XC3601I 12.17.43 DISPLAY XCF 809 
STRNAME: IRRXCF00 PO0O01 


STATUS: ALLOCATED 
POLICY SIZE : 1644 K 
POLICY INITSIZE: N/A 
REBUILD PERCENT: N/A 
PREFERENCE LIST: CFO1 CF02 


EXCLUSTION LIST : IRRXCF00 BO0O1 


ACTIVE STRUCTURE 


ALLOCATION TIME: 03/14/1997 12:09:18 
CFNAME : CFO1 
COUPLING FACILITY: 009672.IBM.02.000000040104 
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PARTITION: 1 CPCID: 00 


ACTUAL SIZE 7.1792 K 

STORAGE INCREMENT SIZE: 256 K 
VERSLION : AES5SBCA56 63094702 
DISPOSITION : DELETE 

ACCESS TIME 0) 

MAX CONNECTIONS: 32 

# CONNECTIONS : 12 


CONNECTION NAME ID VERSION SYSNAME JOBNAME ASID STATE 


IRRPO001€SC42 09 00090001 Sc42 RACFDS O0FD ACTIVE 
IRRP001€SC43 06 00060001 Sc43 RACFDS 0022 ACTIVE 
IRRPO01€SC47 Ol 00010001 SCc47 RACFDS 0066 ACTIVE 


Komut çıktısından RACF structure'larının aktif ve sysplex memberlarına 12 aktif 
bağlantısının olduğunu görüyoruz. Coupling facility arızalandığı zaman RACF buffer pool 
structure'ları aşağıdaki mesajları vermeye başlar 


(mesajlardan bazı örnekler aşağıdadır): 


IRR4101 RACF UNABLE TO BACK UP UPDATE OF U059007 
BACKUP RACF DATA SET SEÇUENCE 001,SYSI.RACFBO1 


IRRXO161I RACF MEMBER 70 DETECTED A COUPLING FACILITY ERROR DURING READ 
DATABASE NAME - SYSI.RACFBOI 
XES STRUCTURE NAME — IRRXCFOO B001 
XES TOKEN - X'C9E7C3D3DG6EFOFIF97F655B1800090137' 
XES LOCAL CACHE INDEX - X'00000001' 
RACF RBA - X'000000000000' 
XES ERROR CODE —- X'0C1C0C06' 
IRRX0201 REBUILD FOR STRUCTURE IRRXCF00 BO0O1 ON MEMBER JDO HAS BEEN INITIATED. 
IIXC5261 STRUCTURE IRRXCFOO BOO1 IS REBUILDING FROM 
COUPLING FACILITY CF2 TO COUPLING FACILITY CF1. 
REBUILD START REASON: CONNECTIVITY LOST TO STRUCTURE 
INFO108: 00000079 00000000.J 
|(IXL0141I IXLCONN REÇUEST FOR STRUCTURE IRRXCF00 BOO1 WAS SUCCESSFUL. 
JOBNAME: RACFDS ASID: 0035 CONNECTOR NAME: IRRBOO018JC0 
CFNAME: CFI1J 
|(IXLO15I STRUCTURE ALLOCATION INFORMATION FOR 284 
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STRUCTURE IRRXCF00 B0OO1, CONNECTOR NAME IRRBO01€JC0 


CFNAME ALLOCATION STATUS/FAILURE REASON 
CF2 RESTRICTED BY REBUILD OTHER 
CF1 STRUCTURE ALLOCATED|J 


IRRX0081I REBUILD FOR STRUCTURE IRRXCF00 B0OO1 ON MEMBER ZI HAS BEEN COMPLETED. 


coupling facility iletişimi kaybolursa aşağıdaki eylemler yapılır: 


1. Coupling facility'nin ve değişik structure'ların durumunu belirlemek için komutlar 


girilir. Örneğin: 


D CF 

IXL150I 12.48.06 DISPLAY CF 

COUPLING FACILITY 009672.IBM.02.000000046797 
PARTITION: 1 CPCID: 00 
CONTROL UNIT ID: FFF5 

NAMED CF2 

NO COUPLING FACILITY SPACE DATA AVAILABLE 


SENDER PATH PHYSICAL LOGICAL 
LL PATH NOT AVAIL ONLINE 
13 PATH NOT AVAIL ONLINE 
COUPLING FACILITY DEVİCE SUBCHANNEL STATUS 
FFD2 0783 OPERATIONAL/IN USE 
FFD3 0784 OPERATIONAL/IN USE 
FFDC 0785 OPERATIONAL/IN USE 
FFDD 0786 OPERATIONAL/IN USE 


COUPLING FACILITY 009674.IBM.02.000000040020 


PARTITION: 1 CPCID: 00 
CONTROL UNIT ID: FFFA 
NAMED CF1 
COUPLING FACILITY SPACE UTILIZATION 
ALLOCATED SPACE DUMP SPACE UTILIZATION 
STRUCTURES: 1405184 K STRUCTURE DUMP TABLES: 0 K 
DUMP SPACE: 6144 K TABLE COUNT: (0) 
FREE SPACE: 663296 K FREE DUMP SPACE: 6144 K 
TOTAL SPACE: 2074624 K TOTAL DUMP SPACE: 6144 K 
MAX REÇUESTED DUMP SPACE: 512 K 
VOLATILE: YES STORAGE INCREMENT SIZE: 256 K 
CFLEVEL: 4 


COUPLING FACILITY SPACE CONFIGURATION 


IN USE FREE TOTAL 
CONTROL SPACE: 1411328 K 663296 K 2074624 K 
NON-CONTROL SPACE: 0 K 0 K 0 K 
SENDER PATH PHYSICAL LOGICAL 
10 ONLINE ONLINE 
12 ONLINE ONLINE 
COUPLING FACILITY DEVİCE SUBCHANNEL STATUS 
FFE8 077F OPERATIONAL/IN USE 
FFEO9 0780 OPERATIONAL/IN USE 
FFF4 0781 OPERATIONAL/IN USE 
FFF5 0782 OPERATIONAL/IN USE 


Coupling Facility ve onun structure'ları görüntülenir: 


D XCF,CF, CFNAME-ALL 


1IXC3621 12.48.07 DISPLAY XCF 756 
CFNAME: CFİ1 


COUPLING FACILITY ; 009674.IBM.02.000000040020 
PARTITION: 1 CPCID: 00 

POLICY DUMP SPACE SIZE: 6000 K 

ACTUAL DUMP SPACE SIZE: 6144 K 

STORAGE INCREMENT SIZE: 256 K 
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CONNECTED SYSTEMS: 


JAO JBO 
J90 z0 
STRUCTURES: 


COUPLE CKPTI 
DSNDB1G GBP4 
DSNDB1G GBP8 


JCO 
z1 


JDO 


DFHXOLS G2POOL1I 
DSNDBIG GBP5 
DSNDBIG LOCKI 


JEO JFO 


DSNDBIG GBPO 
DSNDBIG GBP6 
DSNDBIG SCA 


J80 


DSNDBIG GBP3 
DSNDBIG GBP7 
IEFAUTOS 


IGWLOCKO0O0 IRLMLOCKI IRRXCFO00 B001 IRRXCFOO B002 

IRRXCFO00 B003 IRRXCFOO0 P001 IRRXCFOO0 PO02 IRRXCFOO P003 

ISGLOCK ISTGENERIC ISTMNPS IXCPLEX PATHI 

IXCPLEX PATH2 IXCPLEX PATH3 LG2 DFHJO1 LG2 DFHJ02 

LG2 DFHJ03 LG2 DFHJ04 LG2 DFHLGLOG LOGGER OPERLOG 

OSAMCACHE1 RLSCACHEO1 RLSCACHE02 VSAMCACHE1 
CFNAME: CF2 

COUPLING FACILITY 009672.IBM.02.000000046797 

PARTITION: 1 CPCID: 00 

POLICY DUMP SPACE SIZE: 6000 K 

ACTUAL DUMP SPACE SIZE: 6144 K 

STORAGE INCREMENT SIZE: 256 K 


NO SYSTEMS ARE CONNECTED TO THIS COUPLING FACILITY 


STRUCTURES: 
DSNDBIG GBPO 
DSNDBIG GBP6 


DSNDBIG GBP3 
DSNDBIG GBP7 


DSNDBIG GBP4 
IRLMLOCKI 


DSNDBIG GBP5 


D XCF,STR, STRNAME-DSNDBIG GBPO 


1IXC3601I 12.48.08 DISPLAY XCF 
STRNAME: DSNDBIG GBPO 
STATUS: ALLOCATED 
POLICY SIZE 21600 K 
POLICY INITSIZE: N/A 


REBUILD PERCENT: 1 
PREFERENCE LIST: CF2 
EXCLUSTION LIST IS EMPTY 


CF1 


ACTIVE STRUCTURE 
ALLOCATION TIME: 
CFNAME 
COUPLING FACILITY: 


01/28/1998 12:46:37 
CF1 
009674.IBM.02.000000040020 


PARTITION: 1 CPCID: 00 

ACTUAL SIZE 21760 K 

STORAGE INCREMENT SIZE: 256 K 

VERSTON AFEE2781 2A3C7400 

DISPOSITION DELETE 

ACCESS TIME :0 

MAX CONNECTIONS: 64 

# CONNECTIONS : 7 
CONNECTTION NAME ID VERSION SYSNAME JOBNAME ASID STATE 
DB2 DBAJ 05 000501EC JA0 DBALDBMI 00E6 ACTIVE 
DB2 DBBI 06 000601E0 JBO DBBIDBMI 00E6 ACTIVE 
DB2 DBCI 04 000401F7 JCO DBCIDBMI 00E4 ACTIVE 
DB2 DBDI 07 000701CD JDO DBDIDBMI 00E3 ACTIVE 
DB2 DBEJ 03 000301F9 JE0 DBELDBMI 0147 ACTIVE 
DB2 DBZ1 01 00010224 70 DBZIDBMI 002F ACTIVE 
DB2 DB9I 02 00020208 J90 DB9IDBMI 0019 ACTIVE 
STRUCTURE IN TRANSITION 

REASON IN TRANSITION: CONNECT OR DISCONNECT IN PROGRESS 


ALLOCATION TIME: 
CFNAME 
COUPLING FACILITY: 


01/28/1998 12:42:38 
CF2 NO SYSTEMS CONNECTED TO 
009672.IBM.02.000000046797 


COUPLING FACILITY 


PARTITION: 1 CPCID: 00 
ACTUAL SIZE N/A 
STORAGE INCREMENT SIZE: 256 K 
VERSTON AFEE269D 5B607000 
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Aşağıda RACF buffer pool structure arızası olduğunda alınan mesajlar 


görüntülenmektedir: 


IRRXöl61I RACF MEMBER J9ö DETECTED A COUPLING FACILITY ERROR DURING WRITE ICB 
DATABASE NAME — SYSI.RACFPÖI 

XES STRUCTURE NAME — IRRXCFGĞ Pööl 

XES TOKEN - X'C9E7C3D3DEFÖFLF87FFDCIF8öĞÖ2Ğ1IDA' 

XES LOCAL CACHE INDEX - X'6ö6öööööğ1' 

RACF RBA - X'6666666660ğö' 

XES ERROR CODE — X'öC1CöC25' 

IRRXöl61I RACF MEMBER JCö DETECTED A COUPLING FACILITY ERROR DURING READ 
DATABASE NAME — SYSI.RACFPĞÖI 

XES STRUCTURE NAME — IRRXCFGĞ Pööl 

XES TOKEN —- X'C9E7C3D3DEFÖFLF87FFDCIF8ÖöĞÖĞ8ÖLYE' 

XES LOCAL CACHE INDEX - X'6ö6ööğÖöğ1' 

RACF RBA - X'ö6ö6ööööööğöğö' 

XES ERROR CODE > X'öC1CöC25' 

IRRXö2ÖöI REBUILD FOR STRUCTURE IRRXCFöO PöĞlI ON MEMBER JFÖö HAS BEEN INITIATED. 
Note: Issued by every system that has RACF in data sharing mode. 

NICH4691I 482-658ö ABEND DURING RACHECK PROCESSING 

IEA/94I SVC DUMP HAS CAPTURED: 

DUMPID-ö21 REÇUESTED BY JOB (SBö198 ) 

DUMP TITLE-ICHRSTöĞ-—RACF SVCS,ABEND CODE-482-68ö, SVC-IRRRCKöö, USER-SB6ö198 , GROUP-TESTJ8Ö 


Not: Hasarlı bir RACF yapısının kurtarılması sırasında, bazı RACF işlemleri iptal edilebilir. 
Bu durumda, bir TSO kullanıcısı tarafından gerçekleştirilen RACHECK işlemi iptal edildi 
(yukarıda gösterilen 482 iptali). Ayrıca 483 abend görebilirsiniz. Rebuild işlemi 
tamamlandığında, bu engeller durmalıdır. 

(1IXC5261I STRUCTURE IRRXCF6öĞ PöĞlI IS REBUILDING FROM COUPLING FACILITY CFI TO COUPLING FACILITY CFI1. 
REBUILD START REASON: STRUCTURE FAILURE INFO168: 66666679 666666079.) 

LIXL614T IXLCONN REÇUEST FOR STRUCTURE IRRXCFOĞ PöĞl WAS SUCCESSFUL. 

JOBNAME: RACFDS ASID: 6ö32 CONNECTOR NAME: IRRPöĞIGZI CFNAME: CFIJ 

Coupling Facility Online Değilse 

Coupling facility online değilse ya da sistemin coupling facility ile bağlantısı yoksa, her bir 
structure için RACF IRRXOO3A mesajı yayınlar ve sistem read-only durumuna geçer. Eğer 
problem sadece bağlantı ile ilgiliyse, problem bu sisteme özgüdür (diğer sistemler data 


sharing durumunda işlerine devam edebilirler). 
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Operatörün yapacağı üç seçenek vardır: 


»e Eğer gerçekten data sharing amaçlanmışsa, etkilenen sistemleri geçici olarak salt 
okunur modda bırakın.Coupling facility'yi online yapın ya da link problemini çözün. 
ENF sinyalinin alınmaya başlanmasıyla, RACF coupling facility'nin kullanılabilir 
olduğunu anlayacaktır. Daha sonra RACF otomatik olarak structure'lara bağlanmayı 


deneyecektir bağlanma sağlandığında data sharing durumuna geçecektir. 


» Eğer data sharing amaçlanmışsa ve sistemlerden birinin structure ile bağlantısı 


varsa, structure diğer coupling facility'e rebuilt yapabilir. RACF rebuilt'in initiate 


olduğunu IRRX0201 mesajı ile, rebuilt'in tamamlandığını ise 


verir. 


The first indication is when XCF reports it is starting the rebuild: 


I IXC5211 REBUILD FOR STRUCTURE IRRXCF00 BOO1 356 


I HAS BEEN STARTED 


| The following is the output of a D XCF,STR command: 


STRNAME: IRRXCFO00 B001 


REBUILDING 


TYPE: CACHE 

POLICY INFORMATION: 
POLICY SIZE : 20000 K 
POLICY INITSIZE: N/A 


POLICY MINSIZE : 0 K 
FULLTHRESHOLD : 90 
ALLOWNAUTOALT : NO 
REBUILD PERCENT: 1 
DUPLEX : DISABLED 


ALLOWNREALLOCATE: YES 
PREFERENCE LIST: CF2 
ENFORCEORDER : NO 
EXCLUSTION LIST IS EMPTY 


ACTIVE STRUCTURE 


CFNAME : CF2 


ACTUAL SIZE : 20224 K 


ENTRIES: IN-USE: 
ELEMENTS: IN-USE: 


STATUS: REASON SPECİFIED WITH REBUILD START: 
CONNECTIVITY LOST TO STRUCTURE 
REBUILD LOSSCONN PERCENTAGE: 10 $ 


METHOD: USER-MANAGED 
PHASE: WAITING FOR ÇUTESCE 
EVENT MANAGEMENT: MESSAGE-BASED 


Cr3 CF1 


ALLOCATION TIME: 10/26/2006 20:51:48 


COUPLING FACILITY: 002094.IBM.02.0000000C299E 
COUPLING FACILITY: 002094.IBM.02.0000000C299E 
PARTITION: 23 CPCID: 00 


STORAGE INCREMENT SIZE: 256 K 
1 TOTAL: 4535, 
1 TOTAL: 4534, 


PHYSICAL VERSION: BF9D1727 E53E730A 
LOGICAL VERSION: BF9D1727 E53E730A 
SYSTEM-MANAGED PROCESS LEVEL: 8 


DISPOSITION : DELETE 
ACCESS TIME “0 
MAX CONNECTIONS: 64 
# CONNECTIONS : 10 
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e 
Cİ 


g 
Gİ 


FULL 
FULL 


IRRX0081 mesajı ile 


* ASTERISK DENOTES CONNECTOR WITH OUTSTANDING REBUILD RESPONSE 
& AMPERSAND DENOTES CONNECTOR WHO LOST CONNECTIVITY TO STRUCTURE 


CONNECTION NAME ID VERSION SYSNAME JOBNAME ASID STATE 
*IRRBOO1GJA0 07 000700E6 JAO RACFDS 0018 ACTIVE 
*IRRBOO1GJBO 05 000500E3 JBO RACFDS 0018 ACTIVE & 
*IRRBOO18JC0 OL 00010109 JcO RACFDS 0018 ACTIVE 
*IRRBOO1GJE0 04 000400EE JEO RACFDS 0018 ACTIVE 
*IRRBOOLGJFO 08 000800E7 JFO RACFDS 0018 ACTIVE 
*IRRBOOLGJHO 09 000900E4 JHO RACFDS 0018 ACTIVE 
*IRRBOO018J80 02 000200FB J80 RACFDS 0018 ACTIVE 
*IRRBOO018J90 OA 000A00DA J90 RACFDS 0018 ACTIVE 
*IRRBOOLETPN 03 000300F3 TPN RACFDS 0018 ACTIVE 
*IRRBOM01€Z0 06 000600E6 20 RACFDS 0018 ACTIVE 

DIAGNOSTIC INFORMATION: STRNUM: 000000A9 STRSEO: 00000002 
MANAGER SYSTEM ID: 0A002D5B 

NAME/MGR  #OUEUED 1STOESN LASTOESN CMPESN NOTIFYESN 

J80 00000001 0000001F 0000001F 0000001E 0000001F 


* EFach instance of RACF will report (text varies by system name): 


IRRX0201 REBUILD FOR STRUCTURE IRRXCF00 BOO1 959 
ON MEMBER J80 HAS BEEN INITIATED. 
One system will report: 


IXC5261I STRUCTURE IRRXCF00 B0O01 IS REBUILDING FROM 623 

COUPLING FACILITY CF2 TO COUPLING FACILITY CF3. 

REBUILD START REASON: CONNECTİIVITY LOST TO STRUCTURE 

IXC5821 STRUCTURE IRRXCF00 B0O01 ALLOCATED BY COUNTS. 627 
PHYSICAL STRUCTURE VERSION: BFA42282 85815945 


STRUCTURE TYPE: CACHE 

CFNAME: CF3 
ALLOCATION SIZE: 20224 K 

POLICY SIZE: 20000 K 

POLICY INITSIZE: OK 

POLICY MINSIZE: OK 

IXLCONN STRSIZE: 0 K 

ENTRY COUNT: 4535 

ELEMENT COUNT: 4534 

ENTRY:ELEMENT RATIO: 182 1 


ALLOCATION SIZE IS WITHIN CFRM POLICY DEFINITIONS 

IXLO141I IXLCONN REBUILD REÇUEST FOR STRUCTURE IRRXCFOO B00O1 628 
WAS SUCCESSFUL. JOBNAME: RACFDS ASID: 0018 

CONNECTOR NAME: IRRBOO16JE0 CFNAME: CF3 

IXL0O15I REBUILD NEW STRUCTURE ALLOCATION INFORMATION FOR 629 
STRUCTURE IRRXCFOO0 B001, CONNECTOR NAME IRRBO0O1€JE0 


CFNAME ALLOCATION STATUS/FAILURE REASON 

CF2 NSUFFICIENT CONNECTIVITY 0000005A 
CF3 STRUCTURE ALLOCATED CC007800 

GEL PREFERRED CF ALREADY SELECTED CC007800 


* Each system will report (text will vary by system name): 
IXL014I IXLCONN REBUILD REÇUEST FOR STRUCTURE IRRXCFOO BOO1 196 
WAS SUCCESSFUL. JOBNAME: RACFDS ASID: 0018 
CONNECTOR NAME: IRRBO0016JC0 CFNAME: CF3 
IRRX0081I REBUILD FOR STRUCTURE IRRXCF00 BOO1 163 
ON MEMBER JAO HAS BEEN COMPLETED. 
* One system will report: 


IXC5211 REBUILD FOR STRUCTURE IRRXCF00 B001 755 
HAS BEEN COMPLETED 


» RVARY NODATASHARE komutunu girerek sysplex'i non-data sharing duruma 
geçirmek. Eğer coupling facility istenmiyorsa ve problem basit bir problemse bu 


durum seçilir ancak sistemi iyileştirmek için ileride re-IPL gerekebileceği 
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e akıldan çıkarılmamalıdır. Aksi halde, coupling facility problemini çözüp, RVARY 
DATASHARE komutunu girmek en tercih edilen durumdur, bu RACF'in 
structure'lara bağlanmasını sağlayacak ove sistemi data sharing durumuna 


geçirecektir. 


Structure poliside tanımlanmamışsa 


Sysplex IPL edildiddinde aktif poliside tanımı RACF structure'larının tamamı 
görünmeyebilir. RACF kayıp her bir structure için IRRXOO3SA mesajı yayınlar ve tüm 
sistemler read-only durumunda başlatılır. Bu durumda polisi update edilir ve RACF ENF 


sinyalini alır almaz structure'lara otromatik olarak bağlanmayı dener. 


Structure çok küçüktür 

RACF, data set ilişkisini kurmak için en az cache structure entrileri kadar çok lokal tampon 
yuvalarına ihtiyaç duyar. Eğer bu durum sağlanmazsa, RACF structure'a bağlı kalır fakat 
read-only durumuna geçer. Bu durumdan RACF data sharing grubundaki her sistem 
etkilenir fakat eğer aynı data set için lokal tamponlarını farklı sayıda kullanan farklı 


sistemler varsa onlar bu durumdan etkilenmezler. 


RACE structure için talep edilen büyüklük yeterli değilse IRRXO11A mesajı yayınlanır. 
Eğer RACF sadece IRRX0121 mesajını yayınlamışsa, structure büyüklüğü RACF'in 


minimum ihtiyacını karşılamaya yeter ve sistem data sharing durumunda çalışmaya devam 
eder. Ama IRRX0121 mesajının yanında bir de IRRXO13A mesajı yayınlanmışsa o zaman , 
structure büyüklüğü yeterli değildir ve sistem read-only durumuna düşer. Eğer polisiyi 
değiştirmek gerekiyorsa, operatör bu değişiklik yapılırken RACF modunu sysplex'in 
tamamında değiştirip değiştirmeyeceğine karar vermelidir. 


Seçenekler şunlardır: 


» Polisi değiştirilip durum düzelenene kadar sistemi read-only durumunda bırak, 
sonra structure'ları rebuild etmek için MVS SETXCF START, REBUILD komutunu 


gir. 


» RVARY NODATASHARE komutunu girerek sysplex'i non-data sharing durumunu 


sok. Bu aynı zamanda RACF'in tüm structure'lardan disconnecxt 
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olmasına sebep olur. Sonra polisiyi update et ve polisiyi başlatma komutunu gir 
(SETXCF START, POLICY, TYPEZCFRM, POLNAMEZpolname). Polisi başladıktan 
sonra RVARY DATASHARE komutunu gir; bu komut RACF'in bağlantıları kurmaya 


başlamasına ve sistemi data sharing durumuna geçirmesine sebep olacaktır. 


Link failure 


Bu durum CF arızası ile aynıdır “Coupling Facility etkin değil” hatası ile. ancak sorun, 
RACF zaten MVS ve RACF'nin soruna nasıl tepki verdiğini etkileyen veri paylaşım 
modunda olduktan sonra ortaya çıkar. Tipik olarak, link failure hatasıdır, RACF coupling 
facility'yi XLCACHE makrosu aracılığıyla kullanmaya çalıştığında tespit edilir; IRRXO161: 


mesajı yayınlanır 


İki kurtarma eyleminden biri otomatik olarak gerçekleşir: 


RACF structure'ında CFRM polisisinde REBUILDPERCENT belirtilmişse o zaman 


bağlantıyı kaybetme yüzdesi sınırı aşmış demektir, MVS bu structure için rebuild'ı başlatır. 


RAFC structure'ında CFRM polisisinde REBUILDPERCENT belirtilmediyse MVS rebuild'ı 
başlatmaz, sysplex failure management polisisi aktif değildir ancak bağlantı kaybetme 
eşiğine ulaşılmamıştır. MVS RACF'i rebuild yapılmayacağı konusunda uyarır ve RACF 


problemli structure'ı sistemden ayırır, IRRXO0151 mesajını yayınlar. 


Eğer sistem data sharing sistemiyse , read-only durumuna girer.Structure, tüm 
konektörlerden bağlantı kesilerek coupling facility'den çıkarılırsa, RACF, varsa alternatif bir 


coupling facility'de bir structure'a bağlanmaya çalışır. 
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Non—data sharing durumu 

Coupling facility etkin değil 

Coupling facility online değilse veya sistemle bağlantısı yoksa, RACF her structure için 
IRRXOO3A (beraberindeki return ve reason kodlarıyla birlikte) mesajı verir ve sistem salt 


okunur modda başlatılır. Sorun yalnızca bağlantı ise, bu sisteme özgü olabilir (diğer 
sistemler veri paylaşım modunda başlatılabilir). 


Non-Data Sharing Mode Non-Data Sharing Mode 
RACF1 Coupling Facility RACF2 


ma Mİ 


ÇE 
RACF 
Database 


Reserve/ Reserve/Release 


Operatörün üç seçeneği vardır: 


» Veri paylaşımı gerçekten amaçlanmışsa, etkilenen sistemleri geçici olarak salt 
okunur modda bırakın.Coupling facility'yi online duruma getirin veya bağlantı 
sorunlarını giderin. ENF sinyali yoluyla, RACF coupling facility'nin kullanılabilirliği 
konusunda bilgilendirilir. Daha sonra RACF, veri paylaşım moduna girebilmesi için 
structure'lara bağlanmayı otomatik olarak tekrar dener. 

» Veri paylaşımı amaçlanmışsa ve en az bir sistem hala structure ile bağlantıya 
sahipse, structure daha fazla sistemin bağlantıya sahip olduğu başka bir coupling 


facility'ye rebuild edilebilir. 
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»e Sysplex'i veri paylaşma moduna geçirmek için RVARY NODATASHARE'i girin. 
Coupling facility istenmediyse ve sorun sadece ICHRDSNT bitinin ayarlarındaysa, 
sistemin gelecekte yeniden IPL edilmesi gerektiğinde bunu düzeltmeyi unutmayın. 
Ayrıca, coupling facility sorununu da daha önce belirtildiği gibi düzeltin, ardından 
RVARY DATASHARE'i girin; bu, RACF'nin sistemlere veri paylaşım moduna 


girebilmesi için structure'lara bağlanmayı yeniden denemesine neden olur. 


Non-data sharing durumundaki sistemler coupling facility'yi kullanmasalar bile RACF veri 
tabanına full okuma/yazma kapasitesine sahiptirler. 


RACF, veri tabanına seri halde erişim için hardware RESERVE'leri kullanır (kurulum 
açıkça RESERVE'leri GRS'i kullanarak global ENO'lara dönüştürmediyse). Her iki 
durumda da, veri paylaşmama durumu, veri paylaşma durumu veya salt okunur durumlarla 
uyumlu değildir; Eğer RACF veri paylaşma grubundaki sistemlerden biri veri paylaşmama 
durumundaysa, sistemlerin hepsi veri paylaşmama durumuna geçer. Bu durum kurulumun 
sysplex iletişimin etkin olmasını istediği ve coupling facility'yi kullanmak istemediği 


durumlarda istenir, bazı coupling facility kurtarma işlemlerinde işe yarar. 


RACF, veri paylaşmama durumundayken, ENF sinyallerini iptal eder ve otomatik olarak 


veri paylaşma durumuna geçme denemelerini yapmaz. 


Eğer coupling facility kullanılabilir durumdaysa ve veri paylaşma durumuna geçmek 
istiyorsanız RVARY DATASHARE komutunu girin. Ancak bu komutu coupling facility 


kullanılabilir durumda değilken yaparsanız, o zaman read-only durumuna düşersiniz. 
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RACF Data Sharing Durumu 


Data Sharing Mode Data Sharing Mode 
RACF1 Coupling Facility RACF2 
S3 
EZ 
Global 
ENO 


Sonuç salt okunur mod olduğundan, bir structure'ın sistem tarafından kullanılamayan bir 
coupling facility'ye rebuild olmasını zorlamak için SETXCF uygulamayın. SETXCF 
verildiyse, RVARY DATASHARE girerek salt okunur moddan çıkmanız gerekir. Bu nedenle, 
RACE orijinal coupling facility'ye geri döner. 


Coupling facility kurtarma senaryolarının düzgün çalışmadığı bir durumla karşılaşırsanız, 
aşağıdaki bilgiler RACF'nin hizmet isteklerine devam etmesini mümkün kılabilir. Örneğin, 3 
üyeli bir sysplex varsayalım: J90, J91 ve J92. RACF Structure'ı IRRXCFOO B001 içeren 
bir coupling facility kaybedildi. J90 üyesi aktif durumda. Operatör konsolundan aşağıdaki 


mesajlar alınır: 


IRRXO16I RACF MEMBER J90 DETECTED A COUPLING FACILITY ERROR 
IXC5211 REBUILD FOR STRUCTURE IRRXCE00 B001 HAS BEEN STARTED 
IRRX0201I REBUILD FOR STRUCTURE IRRXCEF00 B001 ON MEMBER J90 HAS BEEN INITIATED 


Operatör konsolundan aşağıdaki mesaj alınmaz: 
IRRX008I REBUILD FOR STRUCTURE IRRXCF00 BO0O1 HAS BEEN COMPLETED 


Konsoldan şu komutu girin: 


DISPLAY XCF, STRUCTURE 
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bu komuta gelen cevap: 


IRRXCF00 B001 ALLOCATED REBUILDING 


Operatör konsolundan şu komutu girin: 
d grs,contention 
bu komuta gelen cevap: 


SYSZRAC?2 , minor name backup-racf-db is held on system J90 by RACFDS 


Bu durumda, RACF engueues tuttuğu için sysplex üyeleri düzgün çalışmayabilir. Bir RACF 
structure'ının rebuild edilmesi talep edilmiştir ancak istek daha ileri gidemez Aşağıdaki 
adımlar, bozulmuş modda olsa da, RACF'nin çalışmaya devam etmesine izin vermede 


yardımcı olabilir. 


1. IXC402D mesajının operatör konsolunda bir veya daha fazla kez alındığından emin 


olun, hepsine "DOWN" yanıt verin. 


IXC402D sysname LAST OPERATIVE AT hh:mm:ss. REPLY DOWN AFTER SYSTEM RESET OR 
INTERVAL-SSSSS TO SET A REPROMPT TIME. 


Bu, REBUILD uygulamasının tamamlanmasına izin veriyorsa, aşağıdaki adımları 


izleyin. 
2. Operatör konsolunda aşağıdaki komutu verin: 
SETXCF STOP, EBUILD, STRNAME - IRRXCFOO B001 


Bu komut REBULILD işlevini durdurur ve engueu'ları serbest bırakır. Ayrıca, aşağıdakileri 


görüntüleyen IRRXOO4A iletisi alınır: 
IRRXOO4A ÜYE J90 IS IN READ-ONLY MODE. 


3. Operatör konsolundan aşağıdaki komutu verin: 
RVARY NODATASHARE 
Geriye kalan tüm sysplex üyeleri artık coupling facility olmadan veritabanında çalışır. 


Coupling faciliyt olmadan çalışırken performansın iyi olmayacağını unutmayın. 
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4. Sysplex aygıtınızı uygun şekilde yapılandırdıysanız, durumu daha da geliştirebilirsiniz. 
Bu, birden fazla coupling facilityne sahip olduğunuz ve bunlardan birinin arızalanmasından 


sonra hala mevcut olduğu anlamına gelir. Bunu göstermek için aşağıdakileri okuyun: 


Örneğin, iki coupling facility olan bir sistemi ele alalım. Birincil RACF veritabanı için tüm 
structure'lar bir coupling facility'e atanır ve yedek RACF veritabanı için tüm structure'lar 
diğer coupling facility'ye atanır. (Bu örnekte, alternatif coupling facility'lerinin atanmadığını 
varsayın.) Bu yapılandırmadaki coupling facility'lerinden birini veya diğerini kaybederseniz, 


yedek veritabanı olmadan da veri paylaşma moduna dönebilirsiniz. 


Örneğin: 


» Birincil veritabanı structure'larını içeren coupling facility çökerse, 

RVARY SWİTCH 
Komutunu verin. Bu komut yedek veritabanını asıl yapar ve eski birincil veritabanını devre 
dışı bırakır. 
* Yedek veritabanı structure'larını içeren coupling facility çökerse: 

Yedek veritabanından RVARY INACTIVE.komutunu verin: 
Geri kalan sysplex üyelerine mevcut coupling facility'deki tüm structure'lara bağlanma 
olanağı sağlayan RVARY DATASHARE. komutunu girin 


Ancak dördüncü adımın olumsuz bir sonucu vardır. Bu adımlar, bir coupling facility 
olmadığında performansı artırsa da, yedekleme ve asıl veritabanlarınız büyük olasılıkla 
senkronize olmayacaktır. Hem asıl hem de yedek veritabanlarıyla normal işlemlere geri 


dönmeden önce bu sorunun çözülmesi gerekir. Bu IRRUT200 kullanılarak yapılabilir. 
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RACF Data Sharing Group'ları 


RACF 


RACF 
Data 
Base 
Name 
Table 


RACF 
Range 
Table 


RACF 
© e RACF RACF 
Coupling Facility Data Range 
Base Table 


Name 
Table 


SYSI.LINKLIB 
Few sysı.nPALIB 


RACF veri paylaşımı kullanılarak RACF veritabanına yapılan device contention'ını 


azaltılabilir. 


alınmalıdır: 


Sistem sysplex iletişimi için etkinleştirildiğinde aşağıdakiler de dikkate 


Sysplex veri paylaşım grubunun her üyesi aynı veritabanını paylaşmalıdır. 


Sysplex veri paylaşım grubunun üyeleri veritabanını üye olmayan herhangi bir sistemle 


paylaşamaz. 


Her sistem uyumlu bir veri kümesi ad tablosu kullanmalıdır. 


Her sistem özdeş bir veritabanı aralığı tablosu kullanmalıdır. 
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EK.F FAILSOFT Durumu 


Failsoft işlemi, primary RACF veri tabanında hiç data set bulunmazsa meydana gelir 
(RACF kurulu fakat inaktiftir). Her ne kadar sistem performansını düşürürsede RACF veri 
tabanındaki arızayı tamir ederken nadir olsada tamir sırasında kaçınılmaz olarak meydana 


gelen durumdur. 


Failsoft durumunda, RACF erişime yetki verip vermeyecepğine karar veremez. Data set 
erişimleri için, RAFC operatöre yetki verilip verilmeyeceğini soran mesajlar gönderir. 

Failsoft durumu geçici ya da kalıcı olabilir. Geçici failsoft RVARY INACTIVE komutunun 
sonucu olarak ortaya çıkar. Bu durumdan RVARY ACTIVE komutu verilerek kurtulabilir. 
Kalıcı failsoft ise cidi sistem hatalarının sonucu ortaya çıkar. Kalıcı failsoft'tan kurtulmak 


için sistemi re-İPL yapmak gerekir. 
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EK F. RFC 2409 
İnternet Anahtar Değişimi (IKE veya IKEV2) 


İnternet anahtar değişim protokolü ya da Internet Key Exchange (IKE ya da IKEV2) internet 
üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan 


protokoldür. 


Bu protokolde her iki kullanıcı bir bilgi değişimi yapılmadan önce gizli bir anahtar üzerinde 
anlaşabilirler. Bu protokol genel olarak VPN için kullanılır. Bu anahtar değişim protokolünü 
her iki tarafta kimliğini doğrulama ve aralarında bir iletişim oturumu şifreleme için 


kullanabilirler. Karşılıklı doğrulama için anahtar alt yapısı kullanılır. 


IP (internet protokol) üzerinde çalışan ve bir güvenlik protokolü olan IPSEC'in (internet 
protokol security) bir parçası olarak geliştirilmiştir. Asıl amacı internet ağı üzerinde güvenli 
şifreleme için kullanılan anahtarları değiştirmektir. Bu değişim için Diffie-Hellman anahtar 
değişimi algoritması yaygın olarak kullanılır. Bu algoritma 500. porttan iletişim sağlayan 
UDP paketleri aracılığıyla her iki kullanıcının anahtarlarının değişimlerini sağlar. Buna 
örnek olarak AES şifrelemesi gösterilebilir. Bu şifreleme ile iki kullanıcı arasında sadece 2- 
3 adımda güvenli bir iletişim kanalı oluşturulabilir. 

IKE'de bulunan bazı eksiklikler nedeniyle IKEv2 adında ikinci bir IKE sürümü çıkarılmıştır. 
IKEVv2, Windows 7.0, Windows Server 2008 tarafından tam destekle karşılanmakla birlikte 
BSD tarafından da destek görmüştür. Hatta burada açık kaynak kodlu bir geliştirme ortamı 


oluşturulmuştur. 


İnternet Anahtar Değişimi (IKE veya IKEv2), IPsec protokolü için bir güvenlik ilişkisi (SA) 
kurmak için kullanılan bir protokoldür. IKE Oakley protokolu ile ISAKMP üzerine inşa 
edilmiştir. IKE kimlik doğrulaması için X.509 sertifikasını kullanır. Türetilmiş gizli oturum 
anahtarını DNS (tercihen DNSSEC) ve Diffie-Hellman anahtar değişimini kullanarak yapar. 
Buna ek olarak, bağlanılacak her bir eş (peer) için bir güvenlik politikası manuel olarak 


sürdürülmelidir. 
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EK G IP GÜVENLİK MİMARİSİ STANDARTLARI 


shitecture 
01 
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